Nowy OpenSSL – łata MiTM i 6 innych bugów bezpieczeństwa

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej.

Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops.

Wprawdzie po stronie serwerowej podatne są „tylko” wersje openssl 1.0.1 i wyżej, ale i tak problem występuje nawet w dość konserwatywnych dystrybucjach linuksa (Debian).

Inne „ciekawe” efekty załatanych podatności to potencjalna możliwość wykonania kodu na serwerze (problem występuje w module DTLS, o wiele mniej popularnym niż wykorzystywany w https TLS), czy różne odmiany DoS-ów.

–ms