Penggodam hari ini menjadi pintar. Anda memberi mereka sedikit kelemahan dan mereka mengambil kesempatan sepenuhnya untuk memecahkan kod anda. Kali ini, kemarahan penggodam telah jatuh ke atas OpenSSL, sebuah perpustakaan kriptografi sumber terbuka, yang paling banyak digunakan oleh penyedia perkhidmatan internet.
Hari ini, OpenSSL telah mengeluarkan patch siri untuk enam kerentanan. Dua daripada kelemahan ini dianggap sangat teruk, termasuk CVE-2016-2107 dan CVE-2016-2108.
CVE-2016-2017, kerentanan yang teruk membolehkan penggodam untuk memulakan Oracle Padding Padding. The Oracle Attack Padding boleh menyahsulit lalu lintas HTTPS untuk sambungan internet yang menggunakan cipher AES-CBC, dengan pelayan yang menyokong AES-NI.
The Oracle Attack Padding melemahkan perlindungan penyulitan dengan membenarkan peretas menghantar permintaan berulang untuk kandungan teks biasa mengenai kandungan muatan yang disulitkan. Kelemahan khusus ini pertama kali ditemui oleh Juraj Somorovsky.
Juraj menulis dalam posting blog, " Apa yang telah kita pelajari daripada pepijat ini ialah penambahbaikan perpustakaan crypto adalah tugas kritikal dan harus disahkan dengan positif dan juga ujian negatif. Sebagai contoh, selepas menulis semula bahagian kod padang CBC, pelayan TLS mesti diuji untuk kelakuan yang betul dengan mesej padding tidak sah. Saya harap TLS-Attacker boleh sekali digunakan untuk tugas sedemikian. "
Kerentanan keterukan kedua yang telah melanda perpustakaan OpenSSL dipanggil CVE 2016-2018. Ia adalah kecacatan utama yang mempengaruhi dan merosakkan memori standard OpenSSL ASN.1 yang digunakan untuk pengekodan, penyahkodan dan pemindahan data. Kelemahan khusus ini membolehkan penggodam dalam talian untuk melaksanakan dan menyebarkan kandungan berniat jahat ke atas pelayan web.
Walaupun CVE kelemahan 2016-2018 telah ditetapkan pada bulan Jun 2015, tetapi kesan kemas kini keselamatan telah berlaku selepas 11 bulan. Kelemahan khusus ini boleh dieksploitasi dengan menggunakan sijil SSL tersuai dan palsu, ditandatangani oleh pihak berkuasa pemerakuan.
OpenSSL juga telah mengeluarkan patch keselamatan untuk empat kelemahan limpahan kecil lain pada masa yang sama. Ini termasuk dua kelemahan limpahan, satu isu keletihan memori dan satu keparahan yang rendah yang mengakibatkan data timbunan sewenang-wenang dikembalikan dalam penampan.
Kemas kini keselamatan telah dikeluarkan untuk versi OpenSSl 1.0.1 dan versi OpenSSl 1.0.2. Untuk mengelakkan sebarang kerosakan tambahan pada perpustakaan penyulitan OpenSSL, pentadbir dinasihatkan untuk mengemas kini patch secepat mungkin.
Berita ini pada asalnya diterbitkan di The Hacker News
