 |
Откриха нова уязвимост в OpenSSL |
 |
|
PCPro съобщава за появата на нова уязвимост в открития криптостандарт OpenSSL, която за щастие вече е запушена. Новата уязвимост е открита от японския софтуерен специалист Масаши Кикучи (Masashi Kikuchi) и се явява вторият открит голям проблем в протокола в рамките на само два месеца. Уязвимостта позволява декриптирането на защитения трафик между клиентската машина и сървъра, на който е разположен интернет ресурса, с който той си комуникира, като "принуждава" SSL клиента да използва слаби ключове, които биват предоставяни на атакуващата страна. Джейн Макалиън от медията коментира, че макар и тук отново да е възможно декриптирането и даже променянето на интернет трафика в Мрежата, имейл комуникациите и осъществяваните VPN връзки, то новата уязвимост (регистрирана като CVE-2014-0224) е далеч по-малко страшна от Heartbleed, като потребителите на не-OpenSSL клиенти - IE, Firefox, Chrome за десктоп системи и iOS, Safari и др. - не са засегнати от уязвимостта, но независимо от това всички потребители на протокола се съветват да обновят клиентите си до по-нови версии. За OpenSSL-клиенти, това означава ползващите всички досегашни версии, за сървъри - тези, които ползват версии OpenSSL 1.0.1 (и предишни версии) и 1.0.2-beta1. И нещо в допълнение - за разлика от Heartbleed, който е стоял неоткрит две години, то CVE-2014-0224 е налична в стандарта от 16 - или от неговото приемане.Според Кикучи, виновни за неоткриването на CVE-2014-0224 са хората, които са натоварени с ревизирането на стандарта и имат познания по налагане на TSL/SSL протокола."Ако ревизиращите имаха достатъчно опит, те щяха да преглеждат OpenSSL-кода по същия начин, по който правят ревизия на своя собствен код", пише той в своя блог.OpenSSL Project издадоха обновление за библиотеките на протокола, които са достъпни на страницата на проекта, като освен споменатият вече CVE-2014-0224 специалистите издават фиксове за още шест по-дребни проблема, засягащи сигурността. |
|
 |
|
Статистика |
|
|
| Прегледи | 91 |
| Коментари | 0 |
| Рейтинг | |
| Добавена на | 07 Юни 2014 |
| Източник | Kaldata |
|
|
|
 |
|
|
|
|
|
