Bug w OpenSSL – można fałszować certyfikaty CA

Ogłoszony dzisiaj bug w OpenSSL (severity: high) wygląda dość groźnie…:

An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed, such as the CA flag, enabling them to use a valid leaf certificate to act as a CA and „issue” an invalid certificate.

Czyli w pewnych warunkach można w sposób nieautoryzowany uzyskać uprawnienia CA (tj. zmylić OpenSSL) i wystawiać dalej swoje certyfikaty.

Jak jednak uspokaja Arstechnica, błąd po pierwsze mógłby być wykorzystany w przypadku kiedy klienci SSL (np. przeglądarki) korzystają z podatnej wersji OpenSSL (FF, Chrome, IE nie korzystają w ogóle z OpenSSL-a). A dodatkowo, buga wprowadzono do OpenSSL ledwie w zeszłym miesiącu (podatne są wersje: 1.0.2c, 1.0.2b, 1.0.1n, and 1.0.1o.).

Zapewne teraz każda zmiana do OpenSSL będzie skrupulatnie analizowana… szczególnie biorąc pod uwagę zakusy niektórych rządów…

–ms