OpenSSL łatając jedną podatność…wprowadził kolejną – severity: High

04 maja 2016, 21:34 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim.

Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała właśnie problemy związane z paddingiem i innym miejscu. W oryginale:

A MITM attacker can use a padding oracle attack to decrypt traffic when the connection uses an AES CBC cipher and the server support AES-NI.

Druga to możliwość wykonania kodu w systemie operacyjnym. Brzmi groźnie, choć warunki konieczne do udanego wykorzystania podatności są dość złożone.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Łukasz

    Akurat zgłosiłem przestarzałą wersję OpenSSL’a :D

    Odpowiedz
  2. Jakżyć

    Jak żyć bez OpenSSL, jak żyć Sekuraku? NSS czy GnuTLS? A może LibreSSL…

    Odpowiedz

Odpowiedz