Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowy OpenSSL – łata MiTM i 6 innych bugów bezpieczeństwa

05 czerwca 2014, 16:39 | W biegu | 1 komentarz

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej.

Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops.

Wprawdzie po stronie serwerowej podatne są „tylko” wersje openssl 1.0.1 i wyżej, ale i tak problem występuje nawet w dość konserwatywnych dystrybucjach linuksa (Debian).

Inne „ciekawe” efekty załatanych podatności to potencjalna możliwość wykonania kodu na serwerze (problem występuje w module DTLS, o wiele mniej popularnym niż wykorzystywany w https TLS), czy różne odmiany DoS-ów.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. paczing in progress … :)

    Odpowiedz

Odpowiedz