Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowy OpenSSL – łata MiTM i 6 innych bugów bezpieczeństwa
Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej.
Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops.
Wprawdzie po stronie serwerowej podatne są „tylko” wersje openssl 1.0.1 i wyżej, ale i tak problem występuje nawet w dość konserwatywnych dystrybucjach linuksa (Debian).
Inne „ciekawe” efekty załatanych podatności to potencjalna możliwość wykonania kodu na serwerze (problem występuje w module DTLS, o wiele mniej popularnym niż wykorzystywany w https TLS), czy różne odmiany DoS-ów.
–ms
paczing in progress … :)