Biblioteka kryptograficzna OpenSSL, której oprogramowanie jest podstawą wielu tysięcy stron internetowych otrzymała dziewięć poprawek bezpieczeństwa, z powodu znajdujących się w niej luk w trzech głównych gałęziach kodu.
Żadna ze znalezionych luk nie może być wykorzystana do przeprowadzenia wycieku informacji, jak to miało miejsce w kwietniowym błędzie tejże biblioteki, którego nazwa znana jest jako Heartbleed. Niektóre ze znalezionych luk mogą być wykorzystane do przeprowadzenia ataku Denial of Service (DoS) na protokół Datagram Transport Layer Security (DTLS).
Na co pozwalają wykryte luki?
Jedna z wad serwera korzystającego z OpenSSL odkryta przez pracowników Google (Davida Benjamina i Adama Langley – odkrywców luki Heartbleed) może umożliwić atakującemu wymuszenie od ofiary korzystanie ze starszego i mniej bezpiecznego protokołu TLS 1.0, zamiast bardziej bezpiecznych i nowoczesnych jego odpowiedników.
„Obecna fala luk nie jest tak poważna, jak kilka ostatnio wydanych biuletynów dla biblioteki OpenSSL” – powiedział Marco Ostini, analityk bezpieczeństwa AusCERT.
Aktualizacja oprogramowania
Twórcy projektu OpenSSL zalecają użytkownikom jak najszybszą aktualizację używanego przez nich oprogramowania.
- Użytkownicy OpenSSL 0.9.8 powinni przeprowadzić aktualizację do wersji 0.9.8zb
- Użytkownicy OpenSSL 1.0.0 powinni przeprowadzić aktualizację do wersji 1.0.0n
- Użytkownicy OpenSSL 1.0.1 powinni przeprowadzić aktualizację do wersji 1.0.1i
źródło: itnews
