Μπορεί η αποκάλυψη του Heartbleed κενού ασφαλείας στο OpenSSL να τάραξε τα νερά στον παγκόσμιο ιστό,
τα προβλήματα του ευρέως χρησιμοποιούμενου πρωτοκόλλου ασφαλείας όμως δεν σταματάνε εδώ.
Το OpenSSL Foundation εξέδωσε επείγουσα ενημέρωση στους χρήστες του προτρέποντας τους να ενημερώσουν για άλλη μια φορά την έκδοση του OpenSSL που χρησιμοποιούν μετά τον εντοπισμό ενός υπερδεκαετούς bug, που δίνει την δυνατότητα σε υποκλοπείς να αφαιρέσουν την κρυπτογράφηση του σε οποιοδήποτε δίκτυο, κυκλοφορώντας patch για την αντιμετώπιση του.
OpenSSL Security Advisory [05 Jun 2014]
========================================
SSL/TLS MITM vulnerability (CVE-2014-0224)
===========================================
An attacker using a carefully crafted handshake can force the use of weak
keying material in OpenSSL SSL/TLS clients and servers. This can be exploited
by a Man-in-the-middle (MITM) attack where the attacker can decrypt and
modify traffic from the attacked client and server.
The attack can only be performed between a vulnerable client *and*
server. OpenSSL clients are vulnerable in all versions of OpenSSL. Servers
are only known to be vulnerable in OpenSSL 1.0.1 and 1.0.2-beta1. Users
of OpenSSL servers earlier than 1.0.1 are advised to upgrade as a precaution.
OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.
Thanks to KIKUCHI Masashi (Lepidum Co. Ltd.) for discovering and
researching this issue. This issue was reported to OpenSSL on 1st May
2014 via JPCERT/CC.
The fix was developed by Stephen Henson of the OpenSSL core team partly based
on an original patch from KIKUCHI Masashi.
DTLS recursion flaw (CVE-2014-0221)
====================================
By sending an invalid DTLS handshake to an OpenSSL DTLS client the code
can be made to recurse eventually crashing in a DoS attack.
Only applications using OpenSSL as a DTLS client are affected.
OpenSSL 0.9.8 DTLS users should upgrade to 0.9.8za
OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0m.
OpenSSL 1.0.1 DTLS users should upgrade to 1.0.1h.
Thanks to Imre Rad (Search-Lab Ltd.) for discovering this issue. This
issue was reported to OpenSSL on 9th May 2014.
The fix was developed by Stephen Henson of the OpenSSL core team.
DTLS invalid fragment vulnerability (CVE-2014-0195)
====================================================
A buffer overrun attack can be triggered by sending invalid DTLS fragments
to an OpenSSL DTLS client or server. This is potentially exploitable to
run arbitrary code on a vulnerable client or server.
Only applications using OpenSSL as a DTLS client or server affected.
OpenSSL 0.9.8 DTLS users should upgrade to 0.9.8za
OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0m.
OpenSSL 1.0.1 DTLS users should upgrade to 1.0.1h.
Thanks to Jüri Aedla for reporting this issue. This issue was
reported to OpenSSL on 23rd April 2014 via HP ZDI.
The fix was developed by Stephen Henson of the OpenSSL core team.
SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
=================================================================
A flaw in the do_ssl3_write function can allow remote attackers to
cause a denial of service via a NULL pointer dereference. This flaw
only affects OpenSSL 1.0.0 and 1.0.1 where SSL_MODE_RELEASE_BUFFERS is
enabled, which is not the default and not common.
OpenSSL 1.0.0 users should upgrade to 1.0.0m.
OpenSSL 1.0.1 users should upgrade to 1.0.1h.
This issue was reported in public. The fix was developed by
Matt Caswell of the OpenSSL development team.
SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
===============================================================================
A race condition in the ssl3_read_bytes function can allow remote
attackers to inject data across sessions or cause a denial of service.
This flaw only affects multithreaded applications using OpenSSL 1.0.0
and 1.0.1, where SSL_MODE_RELEASE_BUFFERS is enabled, which is not the
default and not common.
OpenSSL 1.0.0 users should upgrade to 1.0.0m.
OpenSSL 1.0.1 users should upgrade to 1.0.1h.
This issue was reported in public.
Anonymous ECDH denial of service (CVE-2014-3470)
================================================
OpenSSL TLS clients enabling anonymous ECDH ciphersuites are subject to a
denial of service attack.
OpenSSL 0.9.8 users should upgrade to 0.9.8za
OpenSSL 1.0.0 users should upgrade to 1.0.0m.
OpenSSL 1.0.1 users should upgrade to 1.0.1h.
Thanks to Felix Gröbert and Ivan Fratrić at Google for discovering this
issue. This issue was reported to OpenSSL on 28th May 2014.
The fix was developed by Stephen Henson of the OpenSSL core team.
Other issues
============
OpenSSL 1.0.0m and OpenSSL 0.9.8za also contain a fix for
CVE-2014-0076: Fix for the attack described in the paper "Recovering
OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack"
Reported by Yuval Yarom and Naomi Benger. This issue was previously
fixed in OpenSSL 1.0.1g.
References
==========
URL for this Security Advisory:
http://www.openssl.org/news/secadv_20140605.txt
Note: the online version of the advisory may be updated with additional
details over time.
Το νέο σοβαρό κενό ασφαλείας εντοπίστηκε από τον Ιάπωνα ερευνητή Masashi Kikuchi, και εκμεταλεύεται ένα τμήμα της διαδικασίας "handshake" του OpenSSL για την δημιουργία κρυπτογραφημένων συνδέσεων το ChangeCipherSpec, δίνοντας την δυνατότητα στον επιτιθέμενο να αναγκάσει τον υπολογιστή και τον server να χρησιμοποιήσουν αδύναμα κλειδιά ώστε με χρήση "man in the middle" τρόπου να αποκρυπτογραφήσει και να αποκτήσει πρόσβαση στα δεδομένα.
Αυτή η "τρύπα" στο OpenSSL φαίνεται πως υπάρχει από την πρώτη κυκλοφορία του το 1998, αλλά δεν είχε εντοπιστεί ως τώρα παρά την ευρεία χρήση του από μεγάλα sites και υπηρεσίες και το μόνο "εμπόδιο" στην χρήση του είναι πως ο επιτιθέμενος πρέπει να είναι ανάμεσα στους δύο υπολογιστές που επικοινωνούν, ενώ λειτουργεί μόνο αν και τα δύο μέρη χρησιμοποιούν OpenSSL encryption, πολλοί browsers χρησιμοποιούν άλλες λύσεις.
Πηγή : Wired
Εμφάνιση 1-15 από 56
-
08-06-14, 12:40 Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
08-06-14, 13:00 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #2
Υπερδεκαετούς.. Μάλιστα.
-
08-06-14, 13:02 Re: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #3
Μάλιστα.
Spoiler:Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
08-06-14, 13:03 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #4
Και βρέθηκε τώρα που ο κώδικας του OpenSSL υπάρχει σαν LibreSSL ? 10 χρόνια υπήρχε....Πολύ περίεργο πολύ indeed....
-
08-06-14, 13:07 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #5
Δεν θα αντέξω πάλι αλλαγή pass σε σαιτ που δεν-εχουν-επηρρεαστεί-αλλά-καλό-θα-ήταν...
-
08-06-14, 14:53 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #6
Δυστυχώς bugs σαν αυτά υπήρχαν, υπάρχουν και θα υπάρχουν. Το γεγονός ότι το bug ήταν κρυμμένο για τόσα χρόνια να μην κάνει εντύπωση σε κανέναν. Είναι λογικό καθώς σε λογισμικό τέτοιας κλίμακας είναι αναπόφευκτο να μην εντοπίζονται όλα τα bugs εγκαίρως. Μην ξεχνάτε ότι τα περισσότερα bugs ανακλύπτονται τυχαία. Αυτό για αυτούς που το μυαλό τους πάει κατευθείαν σε θεωρίες συνωμοσίας(αν και κανείς δεν μπορεί να αποκλείσει 100% τίποτα)
Τελευταία επεξεργασία από το μέλος HackFreak : 08-06-14 στις 17:55.
None of our beliefs are quite true; all have at least a penumbra of vagueness and error.
Bertrand Russell
-
08-06-14, 16:02 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #7
Ρε μπας και οι καλοί της υπόθεσης (open+κάτι) τα παίρνουν?
Μήπως το παιχνίδι είναι στημένο?
Τελικά μήπως η Microsoft δεν είναι και τόσο κακιά?
Βοήθεια.
-
08-06-14, 16:16 Re: Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #8Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
08-06-14, 16:21 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #9
Τελικά, μήπως κανένας δεν διαβάζει τον source κώδικα;
-
08-06-14, 16:24 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #10
Ευτυχώς οι τράπεζες δεν χρησιμοποιούν Openssl
-
08-06-14, 16:35 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #11
Αδυναμίες υπήρχαν και θα υπάρχουν πάντα στα προγράμματα... Απλά μου κάνει εντύπωση η χρονική περίοδος που εμφανίστηκε αυτό bug !
Μήπως ο κ. Masashi Kikuchi το ανακάλυψε τώρα γιατί τώρα επεξεργάζονται oi κύριοι του LibreSSL τον κώδικα και το βρίκανε οπότε αρπάξανε την ευκαιρία να προμοτάρουν το LibreSSL για να αρχίσει να βγάινει ώς ποιό ασφαλές και καλό από το OpenSSL ? Λέω εγώ τώρα ..
Επικύνδινοι και περίεργοι οι καιροίο που ζούμε !
- - - Updated - - -
Ναι γιατί οι τράπεζες που βασίζονται στον IIS κατα κόρον είναι ποιό ασφαλείς !
-
08-06-14, 16:56 Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #12
Πάλι αλλάζουμε κωδικούς δηλαδή; Τι καλά, είχα ελεύθερο χρόνο και δεν ήξερα τι να τον κάνω...
-
08-06-14, 17:30 Απάντηση: Re: Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #13
-
08-06-14, 17:50 Re: Απάντηση: Re: Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #14Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
08-06-14, 17:54 Απάντηση: Re: Απάντηση: Re: Απάντηση: Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL #15
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Με έκτακτη αναβάθμιση που καλύπτει και τα Windows XP η Microsoft κλείνει το σοβαρό κενό ασφαλείας του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 38Τελευταίο Μήνυμα: 26-05-14, 23:44 -
Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 18Τελευταίο Μήνυμα: 05-05-14, 22:11 -
Νέο κενό ασφαλείας σχετιζόμενο με την γεννήτρια τυχαίων αριθμών του Early Random PRNG εντοπίζεται στο iOS 7
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 21-03-14, 12:32 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52
Bookmarks