12 błędów bezpieczeństwa w OpenSSL

19 marca 2015, 15:27 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

19 marca 2015 ogłoszono 12 nowych błędów bezpieczeństwa w znanej bibliotece OpenSSL. Dwa z nich oznaczone są zagrożeniem ‚wysokim’:

  • błąd w wersji 1.0.2 umożliwiający wykonanie DoS na serwer SSL/TLS
  • błąd umożliwiający downgrade algorytmu RSA do jego wersji eksportowej (czytaj: łatwołamalnej)

Co ciekawe, ta ostatnia podatność była już wcześniej anonsowana przez załogę OpenSSL, jednak z zagrożeniem ‚niskim’ (jednak okazało się, że duża liczba serwerów w Internecie posiada skonfigurowaną obsługę eksportowego RSA, co czyni je podatne na downgrade i dalej deszyfrację ruchu w przypadku ataku MiTM).

Duża część błędów dotyczy tylko wersji OpenSSL 1.0.2, sporo też mamy „zwykłych” DoS-ów – niekoniecznie związanych z obsługą SSL/TLS. Nie są to więc raczej podatności klasy heartbleed, choć i tak oczywiście warto wykonać łatanie.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dawid

    [moderacja: poprawione – dzięki!]

    Odpowiedz

Odpowiedz