12 błędów bezpieczeństwa w OpenSSL

19 marca 2015 ogłoszono 12 nowych błędów bezpieczeństwa w znanej bibliotece OpenSSL. Dwa z nich oznaczone są zagrożeniem ‘wysokim’:

• błąd w wersji 1.0.2 umożliwiający wykonanie DoS na serwer SSL/TLS
• błąd umożliwiający downgrade algorytmu RSA do jego wersji eksportowej (czytaj: łatwołamalnej)

Co ciekawe, ta ostatnia podatność była już wcześniej anonsowana przez załogę OpenSSL, jednak z zagrożeniem ‘niskim’ (jednak okazało się, że duża liczba serwerów w Internecie posiada skonfigurowaną obsługę eksportowego RSA, co czyni je podatne na downgrade i dalej deszyfrację ruchu w przypadku ataku MiTM).

Duża część błędów dotyczy tylko wersji OpenSSL 1.0.2, sporo też mamy “zwykłych” DoS-ów – niekoniecznie związanych z obsługą SSL/TLS. Nie są to więc raczej podatności klasy heartbleed, choć i tak oczywiście warto wykonać łatanie.

–ms