Компютърни специалисти откриха 16-годишен проблем в сигурността на OpenSSL и TLS

Компютърни специалисти откриха 16-годишен проблем в сигурността на OpenSSL и TLS

© Mal Langsdon, Reuters



Специалисти на компанията Lepidum са открили още един проблем в най-популярната система за криптиране на интернет трафик - OpenSSL. Оказва се, че дупката в сигурността съществува от самото създаване на OpenSSL или около 16 години, съобщава онлайн изданието Ars technica.


Пролуката е свързана с протокола TLS (Transport Layer Security). Тя позволява системата за сигурност да бъде заобиколена, а прихванатият трафик да бъде декриптиран и модифициран. При това няма значение какъв е типът на трафика - сърфиране в интернет страници, имейл или дори VPN.


Проблемът засяга OpenSSL 1.0.1 и 1.0.2-beta1 и по-ранните версии. От организацията, която поддържат OpenSSL обявиха, че вече са готови с ъпдейти, които да коригират проблема и призоваха всички администратори на OpenSSL сървъри да ги изтеглят и инсталират възможно най-бързо.




Специалистите уточняват, че проблемът е сериозен, но не е чак толкова фатален, колкото беше Heartbleed. Причината е, че тази уязвимост може да се експлоатира по-трудно и обикновено дава по-слаби резултати. Освен това може да се използва само срещу конкретна цел, а не масово, както беше Heartbleed.


"Въпреки това всички ползватели на OpenSLL трябва да обновят софтеура", пише Адам Лангли, известен специалист по криптиране на данни и софтуерен инженер на Google. Ъпдейтите, които са пуснати от администраторите на OpenSSL, коригират и други пропуски в стандарта.

Коментари (11)
  1. Подредба: Сортирай
  1. 1 Профил на gorodetski
    gorodetski
    Рейтинг: 586 Неутрално

    Елиптични Криви. LibreSSL. Светът отчаяно се нуждае от премахване на старите методи за криптиране и преминаване към нови.

  2. 2 Профил на xart
    xart
    Рейтинг: 488 Неутрално
  3. 3 Профил на abee
    abee
    Рейтинг: 434 Неутрално

    Да бяха превели по-добре новината ли? Като например, че става дума за уязвимост CVE-2014-0224 даваща възможност за MITM CCS injection, и че и клиента и сървъра трябва да са с уязвими версии, като от страната на клиента всяка версия е уязвима, а от страната на сървъра се предполага, че е само 1.0.1

  4. 4 Профил на vari
    vari
    Рейтинг: 503 Неутрално

    Развалиха рахата на НСА - кой знае от колко време я експлоатират тая дупка.

  5. 5 Профил на Даниел Панев
    Даниел Панев
    Рейтинг: 440 Неутрално

    До коментар [#1] от "gorodetski":

    Проблемът не е в алгоритмите, поне не и в тоя случай, а в имплементацията. Елиптичните криви по никакъв начин няма да помогнат в тая ситуация

  6. 6 Профил на gorodetski
    gorodetski
    Рейтинг: 586 Неутрално

    Проблемът основно е в алгоритмите. Ако си мислите, че само имплементациите са проблем, няма проблем, не мога да казвам на кого какво да мисли

  7. 7 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 755 Весело

    За без пари - толкова. Така става, когато събереш 1000 маймуни да пишат на машина и да чакаш да произведат Шекспир.

    Unit testing? Use-cases? Integration tests? Не. Нито една от тези практики не е приложена. Вместо това се разчита на "ама нали всеки гледа кода, ако има проблем, ще види". 16 години НИКОЙ не е видял, че кодът е една каша, че е сбъркан самият дизайн. Самият протокол е сбъркан.

  8. 8 Профил на gorodetski
    gorodetski
    Рейтинг: 586 Неутрално

    И за тези, които още не вярват, че проблемът е освен в имплементациите и в алгоритмите, ето ви видео от европейският еквивалент на DefCon: https://www.youtube.com/watch?v=HJB1mYEZPPA

  9. 9 Профил на Даниел Панев
    Даниел Панев
    Рейтинг: 440 Неутрално

    И какво ти казаха в клипчето? Че RSA-4096 може би не е достатъчно сигурен. А за RSA-32768 казаха ли нещо? Щото алгоритъмът е същия.
    Да не говорим, че освен криптосистеми, базирани на групи, имаме и такива, базирани на пръстени. А с тях и Шор се препъва..

  10. 10 Профил на epoc
    epoc
    Рейтинг: 1341 Любопитно

    До коментар [#7] от "Знам и Мога":

    Майкрософт като си тестват софтуера та кво? Все едно не бълват и те пачове на кило......

    Икономедия се превърна в трибуна на тролове ЗА и ПРОТИВ правителството. Очевидно е, че няма какво да се говори или коментира с такива драскачи....
  11. 11 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 755 Весело

    До коментар [#10] от "epoc":

    Тук не говорим за кръпки. OpenSSL е beyond repair. Сбъркан е по начало.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK