? Zwei sehr gefährliche OpenSSL-Sicherheitsfehler wurden gepatcht

OK, also keine dieser beiden neuen, vor kurzem gepatchten OpenSSL-Bugs kommen mit einem sexy Code-Namen wie HeartBleed, Drown oder FREAK, aber das bedeutet nicht, dass sie nicht so ernst wie ein Server-Herzinfarkt sind. Entweder man könnte Ihre Sicherheit zerstören.

Wenn OpenSSL gut funktioniert, ist es, was oft sichert HTTPS. Wenn es nicht, es ist ein echtes Sicherheitsrisiko.

Die OpenSSL Kryptographie-Bibliothek wird verwendet, um Secure-Socket Layer (SSL) und Transport Layer Security (TLS) in vielen beliebten Websites zur Verfügung zu stellen. Dazu gehören Twitter, GitHub, Yahoo, Tumblr, Steam und DropBox.

OpenSSL wird nicht nur in Webseiten verwendet. OpenVPN, ein virtuelles Open-Source-Netzwerk und ältere Versionen des sicheren Login- und Terminalprogramms OpenSSH verwenden OpenSSL.

Kurz gesagt, wenn Sie einen sicheren Server laufen, sind die Chancen gut, dass Sie OpenSSL laufen und Sie müssen es jetzt Patch.

Hier ist, was Sie vor dieser Zeit.

Erstens gibt es ein Gedächtnis Korruption Problem mit OpenSSL Abstract Syntax Notation One (ASN.1) Encoder. Dies ist eine sprachunabhängige formale Beschreibung der Datenbeschreibung.

Das Sicherheitsproblem ergibt sich aus zwei kleineren Problemen. Der erste davon ist, dass der OpenSSL-ASN.1-Codierer Null als negative Integer darstellen kann. Dies kann wiederum dazu führen, dass ein Puffer-Unterlauf mit einem Außer-Bounds-Speicher-Schreiben erfolgt. Da im normalen Verlauf keine negativen Nullstellen entstehen können, sollte dies kein Problem sein.

Die eigentliche Schwierigkeit entsteht, weil ein zweiter, unabhängiger Fehler zeigte, dass der ASN.1-Parser ein großes Universal-Tag als negativen Nullwert falsch interpretieren kann. Große Universal-Tags sind nicht üblich, aber sie sind in ASN.1 erlaubt.

Setzen Sie diese beiden zusammen und ein Angreifer kann ein Out-of-bounds schreiben auslösen. Dies hat gezeigt, dass das Gedächtnis verdorben wurde und von dort aus kann ein Angreifer anfangen, Chaos zu verursachen.

Insbesondere, nach dem OpenSSL-Security-Blog, “Anwendungen, die Parse und re-encode X.509-Zertifikate bekannt sind, anfällig.” X.509 wird als Format für die Public-Key-Zertifikate verwendet, die für SSL und TLS verwendet werden. Mit anderen Worten, jedes Mal, wenn Sie eine sichere Website anschließen, verwenden Sie es.

Darüber hinaus “Anwendungen, die RSA-Signaturen auf X.509-Zertifikate überprüfen können auch anfällig sein.” Da OpenSSL die gesamte X.509-Zertifikatkette von root nach leaf überprüft, würde dies erfolgreiche Angriffe auf gültige Zertifikate von vertrauenswürdigen Zertifizierungsstellen erfordern. Wenn diese kompromittiert wurden, haben wir größere Probleme als dieser Fehler.

FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US-Regierung Beamten, WordPress fordert die Benutzer auf jetzt aktualisieren, um kritische Sicherheitslücken zu beheben, White House ernennt erste Bundes-Chief Information Security Officer, Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

OpenSSL patches “High” Schwere Fehler in der neuesten Version, Vital OpenSSL Patch kommen, Millionen von OpenSSL gesichert Websites auf Risiko der neuen DROWN-Angriff

Security, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer zu aktualisieren Jetzt kritische Sicherheitslücken zu beheben

Das andere große OpenSSL-Loch, das dieses Mal gepatcht wurde, verwendet einen Padding-Orakelangriff, um Verkehr zu entschlüsseln, wenn die Verbindung einen Chiffrierschlüssel-Chiffrieralgorithmus (AES CBC) von Advanced Encryption Standard verwendet und der Server AES-NI unterstützt. Ein Padding Orakel-Angriff funktioniert durch die Einführung gefälschten “padding” Daten zu einer verschlüsselten Nachricht. Dies macht die Verschlüsselung leichter zu brechen. Die wirklich anstößige Sache über diese Art von Angriff ist, dass, wenn Sie jede verschlüsselte Nachricht brechen können Sie dann brechen alle Nachrichten mit der gleichen Verschlüsselung.

Was in OpenSSL passiert ist, dass, wenn ein Patch gemacht wurde, um ein früheres Problem, die Lucky 13 Füllung Angriff zu beheben, führte das Update ein neues Problem. Insbesondere wurde nicht mehr geprüft, ob genügend Daten vorhanden sind, um sowohl die Medienzugriffssteuerung (MAC) als auch die Füllbytes zu füllen. Hoppla. Dies bedeutet, dass ein Man-in-the-Middle-Angriff verwendet werden kann, um Daten zu entschlüsseln.

Die Lösung für all diese Probleme besteht darin, Ihre OpenSSL so schnell wie möglich zu aktualisieren. OpenSSL 1.0.2 Benutzer sollten auf 1.0.2h aktualisieren, während OpenSSL 1.0.1 Benutzer auf 1.0.1t aktualisieren sollten. Diese Patches sind ab sofort bei allen großen Linux-Distributoren erhältlich.

 Geschichten

Umdenken Sicherheit Grundlagen: Wie über die FUD zu bewegen

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren