Tucatnyi OpenSSL hibát foltoztak
Jókora biztonsági frissítőcsomagot kapott az OpenSSL. A nyílt forrású SSL és TLS implementációban 12 sérülékenységre érkezett javítás, ezek közül kettő kapott súlyos besorolást. Az egyiket csak most, a javítás kiadásával együtt hozták nyilvánosságra, kihasználásával szolgáltatásmegtagadásos (DoS, denial of service) támadást lehet végrehajtani. A másik kiemelt hiba a régi, gyenge titkosítási kulcsokra való fallbacket lehetővé tévő FREAK.
Komoly biztonsági frissítőcsomag érkezett a népszerű, nyílt forráskódú SSL és TLS implementációhoz, az OpenSSL-hez. A tegnap kiadott dokumentáció szerint a szoftverben tizenkét sérülékenységet javítottak, melyek közül kettő kapott súlyos, kiemelt fontosságú besorolást.
Az egyiket meglehetősen nagy várakozás övezte, ugyanis a fejlesztést koordináló The OpenSSL Project már korábban jelezte, hogy egy súlyos, széles körben eddig nem ismert sérülékenységet fognak nyilvánosságra hozni. A CVE-2015-0291 jelzésű bug alkalmazásával a támadók OpenSSL 1.0.2-es szerverrel SSL vagy TLS kapcsolat létesítésekor NULL pointer eredményt kényszeríthetnek ki, amit aztán szolgáltatásmegtagatásos (DoS) támadáshoz használhatnak fel. A hiba javítására az üzlemeltetőknek az OpenSSL 1.0.2a verziójának telepítését ajánlják. A most jelzett sérülékenység támadó szándékú kihasználásáról még nem érkeztek hírek, de egy biztonsági szakember már jelezte, hogy működő példakóddal rendelkezik.
Mégis súlyos a FREAK
A The OpenSSL Project a néhány hete nyilvánosságra került FREAK sérülékenységhez is adott ki javítást, egyben a hiba súlyosságának besorolását is magas szintre emelte. A FREAK (Factoring attack on RSA-EXPORT Keys) elnevezésű támadás egy, a korai '90-es évek óta ismert, az SSL és TLS protokollokba gyárilag beépített gyengeséget aknáz ki.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Kihasználásával a támadók gyakorlatilag minden olyan HTTPS kapcsolatot kompromittálni tudnak, melyeknél a szerver elfogadja az export módra (RSA_EXPORT) vonatkozó kérést és a kliens felkínálja az RSA_EXPORT gyengébb titkosítási készlet használatát vagy a CVE-2015-0204 jelzésű hibával terhelt OpenSSL-t használja. Közbeékelődéses (man-in-the-middle) típusú támadással és egyedi kód bejuttatásával kikényszeríthető a ma használtnál sokkal gyengébb 512 bites kulcsok használata, ezeket pedig mindenki által elérhető számítási kapacitással órák alatt meg lehet fejteni – az Amazon EC2-vel úgy 7 óra alatt, mindössze száz dollár ellenében.
A hibát az implementáció fejlesztői annak publikálásakor még alacsony biztonsági kockázatúnak minősítették, de az azóta végzett elemzésekből kiderült, a FREAK lényegesen több szervert érint, mint azt eredetileg gondolták. A javításhoz az OpenSSL 0.9.8, 1.0.0 és 1.0.1 verziók valamelyikének használói a szoftver ugyanezen verziószámú, de sorban zd, p és k végződésű kiadásaira kell frissíteniük.
A Microsoft, az Apple és a Cisco már kiadta saját sérülékeny termékeit érintő frissítéseket, a Google pedig már kiadta a fejlesztőknek a javítást, de annak implementációja az ökoszisztéma hatalmas mérete és magas fokú fragmentáltsága miatt viszonylag lassan halad. A mérsékelt veszélyességi besorolású hibák közül többet is DoS támadások végrehajtásához lehet felhasználni, így az OpenSSL szervert üzemeltetőknek mindenképpen érdemes a teljes listát átolvasni.