فناوری اطلاعات

آسیب‌پذیری‌های OpenSSL اصلاح شد

منبع: ایسنا
چندین آسیب‌پذیری در OpenSSL برطرف شده که قابل توجه‌ترین آنها به آسیب پذیری MitM در SSL/TLS مربوط بوده است.
 
 
OpenSSL یک مجموعه نرم‌افزار و کتابخانه از توابع رمز‌نگاری است که توسط سیستم‌عامل‌های مختلف مانند گنو‌لینوکس، مایکروسافت ویندوز و مکینتاش مورد استفاده قرار گرفته است.
 
این نرم‌افزارها برای پیاده‌سازی پروتکل‌های SSL Secure‌ Sockets Layer و TLS Transport Layer Security استفاده می‌شود و کاربرد‌های متعددی دارد، مانند تولید کلید خصوصی، دیدن مشخصات یک گواهینامه، مدیریت کلید‌های خصوصی و عمومی و رمزنگاری کلید عمومی. از پروتکل‌های ssl/tls برای رمز‌نگاری اطلاعات رد و بدل شده میان کاربر و سرور در برنامه‌های مختلفی استفاده می‌شود.
 
تمامی نسخه‌های کلاینت OpenSSL آسیب پذیر هستند و تنها نسخه‌های 1.0.1 و 1.0.2-beta1 از سرورهای OpenSSL آسیب پذیر است.
 
به کاربران توصیه می شود تا موارد زیر را اجرا کنند:
 
کاربران OpenSSL 0.9.8 DTLS باید به نسخه 0.9.8za ارتقاء دهند.
 
کاربران OpenSSL 1.0.0 DTLS باید به نسخه 1.0.0m ارتقاء دهند.
 
کاربران OpenSSL 1.0.1 DTLS باید به نسخه 1.0.1h ارتقاء دهند.
 
شرکت گوگل نسخه جدیدی از کروم را برای اندروید منتشر کرده است که نسخه OpenSSLآن 1.0.1h است.
 
بنا بر اعلام مرکز ماهر، موارد دیگری که در OpenSSL برطرف شده است عبارتند از:
 
آسیب پذیری قطعه نامعتبر DTLS: سرریز بافر به طور بالقوه مورد سوء استفاده قرار می گیرد تا کدی دلخواه بر روی سیستم اجرا شود.
 
حفره بازگشت DTLS: منجر به انکار سرویس می شود.
 
ارجاع مجدد اشاره گر NULL در SSL_MODE_RELEASE_BUFFERS: منجر به انکار سرویس می شود.
 
تزریق نشست یا انکار سرویس SSL_MODE_RELEASE_BUFFERS: منجر به تزریق داده بین بخشی یا انکار سرویس می شود.
 
انکار سرویس ناشناس ECDH: منجر به انکار سرویس می شود.

​​