Bugünün bilgisayar korsanları akıllı hale geldi. Onlara hafif bir kaçamak veriyorsunuz ve kodunuzu kırmak için bundan tam olarak faydalanıyorlar. Bu sefer hackerların gazabı, en çok internet servis sağlayıcıları tarafından kullanılan açık kaynak kodlu bir şifreleme kütüphanesi olan OpenSSL'ye düştü.
Bugün, OpenSSL altı güvenlik açığı için bir dizi yama yayınladı. Bu güvenlik açıklarından ikisinin, CVE-2016-2107 ve CVE-2016-2108 dahil olmak üzere çok ağır olduğu kabul edildi.
CVE-2016-2017, ciddi bir güvenlik açığı, bir hacker'ın Padding Oracle Attack başlatmasına izin veriyor. Dolgu Oracle Saldırı, AES-CBC şifresini kullanan bir İnternet bağlantısı için HTTPS trafiğini AES-NI'yi destekleyen bir sunucu ile çözebilir.
Padding Oracle Attack, korsanların şifreli bir yük içeriği hakkında düz metin içeriği için tekrarlanan istek göndermelerine izin vererek şifreleme korumasını zayıflatır. Bu özel güvenlik açığı ilk olarak Juraj Somorovsky tarafından keşfedildi.
Juraj bir blog yazısında şöyle yazdı: “ Bu hatalardan öğrendiğimiz şey, kripto kitaplıklarını yamalamanın kritik bir görev olduğu ve negatif testlerin yanı sıra pozitif olarak da doğrulanması gerektiğidir. Örneğin, CBC doldurma kodunun bölümlerini yeniden yazdıktan sonra, geçersiz doldurma mesajlarıyla doğru davranış için TLS sunucusunun test edilmesi gerekir. Umarım TLS-Attacker bir kez böyle bir görev için kullanılabilir. ”
OpenSSL kütüphanesine isabet eden ikinci yüksek şiddetli güvenlik açığına CVE 2016-2018 adı verilir. Verileri kodlamak, kodunu çözmek ve aktarmak için kullanılan OpenSSL ASN.1 standardının hafızasını etkileyen ve bozan büyük bir kusurdur. Bu özel güvenlik açığı, çevrimiçi bilgisayar korsanlarının web sunucusu üzerinden kötü amaçlı içerik yürütmesini ve yaymasını sağlar.
Güvenlik açığı CVE 2016-2018 Haziran 2015'te geri düzeltilmiş olmasına rağmen, güvenlik güncelleştirmesinin etkisi 11 ay sonra ortaya çıkmıştır. Bu güvenlik açığından, sertifika yetkilileri tarafından usulüne uygun olarak imzalanan özelleştirilmiş ve sahte SSL sertifikaları kullanılarak yararlanılabilir.
OpenSSL, aynı zamanda dört diğer küçük taşma güvenlik açığı için güvenlik düzeltme ekleri de yayınladı. Bunlar arasında iki taşma güvenlik açığı, bir bellek tükenme sorunu ve bir rasgele yığın verisinin arabellekte döndürülmesiyle sonuçlanan bir düşük önem derecesi hatası dahil.
OpenSSl sürüm 1.0.1 ve OpenSSl sürüm 1.0.2 için güvenlik güncelleştirmeleri yayımlanmıştır. OpenSSL şifreleme kütüphanelerine daha fazla zarar gelmemesi için yöneticilere yamaları en kısa sürede güncellemeleri önerilir.
Bu haber aslen Hacker News'de yayınlandı
