آسیبپذیریهای OpenSSL اصلاح شد
چندین آسیبپذیری در OpenSSL برطرف شده که قابل توجهترین آنها به آسیب پذیری MitM در SSL/TLS مربوط بوده است.
OpenSSL یک مجموعه نرمافزار و کتابخانه از توابع رمزنگاری است که توسط سیستمعاملهای مختلف مانند گنولینوکس، مایکروسافت ویندوز و مکینتاش مورد استفاده قرار گرفته است.
این نرمافزارها برای پیادهسازی پروتکلهای SSL Secure Sockets Layer و TLS Transport Layer Security استفاده میشود و کاربردهای متعددی دارد، مانند تولید کلید خصوصی، دیدن مشخصات یک گواهینامه، مدیریت کلیدهای خصوصی و عمومی و رمزنگاری کلید عمومی. از پروتکلهای ssl/tls برای رمزنگاری اطلاعات رد و بدل شده میان کاربر و سرور در برنامههای مختلفی استفاده میشود.
تمامی نسخههای کلاینت OpenSSL آسیب پذیر هستند و تنها نسخههای 1.0.1 و 1.0.2-beta1 از سرورهای OpenSSL آسیب پذیر است.
به کاربران توصیه می شود تا موارد زیر را اجرا کنند:
کاربران OpenSSL 0.9.8 DTLS باید به نسخه 0.9.8za ارتقاء دهند.
کاربران OpenSSL 1.0.0 DTLS باید به نسخه 1.0.0m ارتقاء دهند.
کاربران OpenSSL 1.0.1 DTLS باید به نسخه 1.0.1h ارتقاء دهند.
شرکت گوگل نسخه جدیدی از کروم را برای اندروید منتشر کرده است که نسخه OpenSSLآن 1.0.1h است.
بنا بر اعلام مرکز ماهر، موارد دیگری که در OpenSSL برطرف شده است عبارتند از:
آسیب پذیری قطعه نامعتبر DTLS: سرریز بافر به طور بالقوه مورد سوء استفاده قرار می گیرد تا کدی دلخواه بر روی سیستم اجرا شود.
حفره بازگشت DTLS: منجر به انکار سرویس می شود.
ارجاع مجدد اشاره گر NULL در SSL_MODE_RELEASE_BUFFERS: منجر به انکار سرویس می شود.
تزریق نشست یا انکار سرویس SSL_MODE_RELEASE_BUFFERS: منجر به تزریق داده بین بخشی یا انکار سرویس می شود.
انکار سرویس ناشناس ECDH: منجر به انکار سرویس می شود.