В OpenSSL найдено еще шесть уязвимостей!
На сегодняшний день в OpenSSL найдено еще шесть уязвимостей (помимо ранее обнаруженной «Heartbleed»), в том числе один недостаток, дающий возможность злоумышленникам, так называемым MITM злоумышленникам (от англ. man-in-the-middle, дословно «человек в середине») прослушивать кодированные соединения, а также другой недостаток, позволяющий злоумышленникам запускать вредоносное ПО на системах, находящихся в особой группе риска. Давайте рассмотрим их поподробнее.
1. Фрагмент уязвимости в DTLS (сокр. от англ. Datagram Transport Layer Security, Безопасность Дэйтаграммы Транспортного Уровня), а именно: CVE-2014-0195, затрагивающий версии 0.9.8, 1.0.0 и 1.0.1, может быть использован для того, чтобы внедрить вредоносный код в уязвимый софт в приложениях или на серверах.
2. MITM уязвимость протокола SSL / TLS (CVE-2014-0224). Потенциально затрагивает всех клиентов, а также серверы, работающие на версиях 1.0.1 и 1.0.2-beta1. Степень опасности особенно высока, так как атака носит пассивный характер, и не может быть обнаружена клиентом, сервером или с помощью каких-либо сетевых контроллеров безопасности.
Консультативный центр OpenSSL рассказывает:
«Злоумышленник, используя тщательно подготовленное установление связи может форсировать использование слабого ключевого материала у клиентов и на серверах SSL / TLS в OpenSSL. Это может использоваться для осуществления MITM атаки, где злоумышленник сможет декодировать и модифицировать трафик от уязвимого клиента и сервера.
Клиенты OpenSSL – уязвимы во всех версиях OpenSSL в то время, как серверы являются уязвимыми только в версиях OpenSSL 1.0.1 и 1.0.2-beta1.»
Внимание: Если Вы используете OpenSSL, версия которого более ранняя, чем 1.0.1, то мы рекомендуем Вам обновить ее в качестве меры предосторожности.
Недостаток CVE-2014-0224 MITM существует еще с самого первого релиза OpenSSL. Недостаток DTLS, позволяющий удаленно запускать код, также настораживает экспертов, ведь датируется еще апрелем 2014, а раскрыт только в начале июня 2014.
Хорошая новость состоит в том, что клиенты, не использующие OpenSSL (например, такие как IE, Firefox, Chrome, iOS, Safari и др.), по словам экспертов, и вовсе не подвержены атаке с использованием CVE-2014-0224. В то же время некоторые из них считают, что ни один из вышеупомянутых багов нельзя с легкостью взять и использовать в своих целях. И это является полной противоположностью ранее найденной уязвимости, названной «Heartbleed».
Остальные четыре уязвимости вызывают в системе отказ работы служб.
Необходимо будет обновить серверы и другие системы, подключенные к Интернету для того, чтобы защитить систему от атак, связанных с вышеуказанными уязвимостями.