Oprogramowanie

OpenSSL naprawia poważną lukę, która pozwala hakerom na awarie serwerów

Stylizowany wizerunek pływającej kłódki.

OpenSSL, najpowszechniejsza biblioteka oprogramowania do implementacji szyfrowania witryn internetowych i poczty e-mail, załatała bardzo poważną lukę, która ułatwia hakerom całkowite zamknięcie ogromnej liczby serwerów.

OpenSSL zapewnia sprawdzone funkcje kryptograficzne, które implementują protokół Transport Layer Security, następcę protokołu Secure Sockets Layer, który szyfruje dane przepływające między serwerami internetowymi a klientami końcowymi. Osoby opracowujące aplikacje korzystające z TLS polegają na OpenSSL, aby zaoszczędzić czas i uniknąć błędów programistycznych, które są częste, gdy osoby niebędące szyfrantami tworzą aplikacje, które używają złożonego szyfrowania.

Kluczowa rola, jaką OpenSSL odgrywa w bezpieczeństwie Internetu, została w pełni zauważona w 2014 roku, kiedy hakerzy zaczęli wykorzystywać krytyczną lukę w bibliotece kodów typu open source, która pozwalała im kraść klucze szyfrujące, informacje o klientach i inne poufne dane z serwerów na całym świecie. Heartbleed, jak nazywano lukę w zabezpieczeniach, pokazało, jak kilka wierszy błędnego kodu może zagrozić bezpieczeństwu banków, serwisów informacyjnych, firm prawniczych i nie tylko.

Usunięto błąd typu „odmowa usługi”

W czwartek opiekunowie OpenSSL ujawnili i załatali lukę, która powoduje awarię serwerów po otrzymaniu złośliwie spreparowanego żądania od nieuwierzytelnionego użytkownika końcowego. CVE-2021-3449, ponieważ jest śledzona luka w zabezpieczeniach typu „odmowa dostępu do serwera”, jest wynikiem błędu wyłuskiwania wskaźnika zerowego. Inżynier kryptograf Filippo Valsorda, powiedział na Twitterze że wada mogła zostać prawdopodobnie odkryta wcześniej niż teraz.

„W każdym razie wygląda na to, że można dziś zawiesić większość serwerów OpenSSL w Internecie” – dodał.

Hakerzy mogą wykorzystać tę lukę, wysyłając do serwera złośliwie utworzone żądanie renegocjacji podczas początkowego uzgadniania, które ustanawia bezpieczne połączenie między użytkownikiem końcowym a serwerem.

„Serwer OpenSSL TLS może ulec awarii, jeśli zostanie wysłany złośliwie spreparowany komunikat o renegocjacji ClientHello od klienta” – napisali opiekunowie w poradniku. „Jeśli usługa ClientHello renegocjacji TLSv1.2 pomija rozszerzenie signature_algorithms (tam, gdzie było obecne w początkowym ClientHello), ale zawiera rozszerzenie signature_algorithms_cert, spowoduje to wyłuskiwanie wskaźnika o wartości NULL, co prowadzi do awarii i ataku typu„ odmowa usługi ”.

Opiekunowie wysoko ocenili istotność. Badacze zgłosili lukę w OpenSSL 17 marca. Deweloperzy Nokii, Peter Kästle i Samuel Sapalski, dostarczyli poprawkę.

Obejście weryfikacji certyfikatu

OpenSSL naprawił również oddzielną lukę w zabezpieczeniach, która w skrajnych przypadkach uniemożliwiała aplikacjom wykrywanie i odrzucanie certyfikatów TLS, które nie są podpisane cyfrowo przez urząd certyfikacji zaufany przeglądarce. Luka, śledzona jako CVE-2021-3450, dotyczy zależności między flagą X509_V_FLAG_X509_STRICT znalezioną w kodzie a kilkoma parametrami.

Poradnik czwartkowy wyjaśnił:

Jeśli „cel” został skonfigurowany, istnieje kolejna możliwość sprawdzenia, czy certyfikat jest prawidłowym urzędem certyfikacji. Wszystkie wymienione wartości „celu” zaimplementowane w libcrypto wykonują to sprawdzenie. Dlatego w przypadku ustawienia celu łańcuch certyfikatów będzie nadal odrzucany, nawet jeśli użyto flagi ścisłej. Cel jest ustawiany domyślnie w procedurach weryfikacji certyfikatu klienta i serwera libssl, ale może zostać zastąpiony lub usunięty przez aplikację.

Aby mieć to wpływ, aplikacja musi jawnie ustawić flagę weryfikacji X509_V_FLAG_X509_STRICT i albo nie określać celu weryfikacji certyfikatu, albo, w przypadku aplikacji klienta lub serwera TLS, nadpisać cel domyślny.

OpenSSL w wersji 1.1.1h i nowsze są podatne na ataki. Ten problem nie dotyczy OpenSSL 1.0.2. Badacze Akamai, Xiang Ding i Benjamin Kaduk, odpowiednio wykryli i zgłosili błąd. Został poprawiony przez programistę Akamai, Tomáša Mráza.

Aplikacje korzystające z podatnej na ataki wersji OpenSSL powinny zostać zaktualizowane do OpenSSL 1.1.1k tak szybko, jak to możliwe.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook