Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
12 błędów bezpieczeństwa w OpenSSL
19 marca 2015 ogłoszono 12 nowych błędów bezpieczeństwa w znanej bibliotece OpenSSL. Dwa z nich oznaczone są zagrożeniem 'wysokim’:
- błąd w wersji 1.0.2 umożliwiający wykonanie DoS na serwer SSL/TLS
- błąd umożliwiający downgrade algorytmu RSA do jego wersji eksportowej (czytaj: łatwołamalnej)
Co ciekawe, ta ostatnia podatność była już wcześniej anonsowana przez załogę OpenSSL, jednak z zagrożeniem 'niskim’ (jednak okazało się, że duża liczba serwerów w Internecie posiada skonfigurowaną obsługę eksportowego RSA, co czyni je podatne na downgrade i dalej deszyfrację ruchu w przypadku ataku MiTM).
Duża część błędów dotyczy tylko wersji OpenSSL 1.0.2, sporo też mamy „zwykłych” DoS-ów – niekoniecznie związanych z obsługą SSL/TLS. Nie są to więc raczej podatności klasy heartbleed, choć i tak oczywiście warto wykonać łatanie.
–ms
[moderacja: poprawione – dzięki!]