OpenSSL - ważne poprawki
- IDG News Service,
- miw,
- 09.01.2012, godz. 10:42
W najnowszych wersjach biblioteki załatano sześć problemów związanych z bezpieczeństwem
Polecamy:
Możliwość przeprowadzenia ataku pozwalającego na odzyskanie odszyfrowanie informacji zakodowanych w DTLS została odkryta przez Nadhema Alfardana oraz Kenny'ego Patersona z Information Security Group at Royal Holloway University of London (RHUL).
Zobacz również:
Znalezienie luki przez zespół Alfardan-Paterson opiera się na wcześniejszych badanich RHUL związanych ze słabością szyfrowania CBC (cipher-block chaining - wiązanie bloków). W trybie CBC każdy blok otwartego tekstu jest szyfrowany przez poddanie operacji XOR z kryptogramem poprzedniego bloku (czyli kolejne bloki kryptogramu zależą od siebie).
Eksperci odkryli metodę odzyskiwania otwartego tekstu bez potrzeby poznawania początkowego klucza szyfrującego - do złamania kryptogramu wystarcza analiza różnic w czasie potrzebnym na deszyfrowanie informacji.
Inna z załatanych luk wiąże się z ryzykiem wycieku nie zaszyfrowanych informacji jeśli jest używany SSL 3.0. Jednak aby ten problem zaistniał potrzebne jest spełnienie określonych warunków i dotyczy niewielkiej liczby bajtów potencjalnie narażonych na atak.
Kolejny z usuniętych problemów (dotyczący tylko wersji 0.9.8 OpenSSL) wiąże się z błędem w sprawdzaniu polityki jeśli została ustawiona flaga X509_V_FLAG_POLICY_CHECK.
W aktualizacji usunięto także trzy inne luki bezpieczeństwa, które pozwalały na przeprowadzenie ataków DoS.