Vous devez appliquer les correctifs OpenSSL aujourd'hui, pas demain
À première vue, vous pourriez penser pas que la dernière série de correctifs de sécurité OpenSSL sont si
important que cela. Bien sûr, il ya une douzaine d'entre eux et deux sont graves, mais sont-ils vraiment si
mauvais? Oui, en fait ils ne sont pas tout simplement mauvais, ils sont horribles.
Certes, certains systèmes d'exploitation, tels que Red Hat Enterprise Linux (RHEL), ne sont pas très touchés par ces derniers problèmes. Mais si vous utilisez un système d'exploitation qui utilise OpenSSL 1.0.2 ou OpenSSL versions: 1.0.1, 1.0.0 et 0.9.8, ce est une autre histoire.
Dans le cas d'OpenSSL 1.0.2, le premier enfant de problème est "ClientHello sigalgs DoS (CVE-2015-0291)." Avec ce bug un client, tout en regardant comme si elle essayait de négocier un Transport Layer Security (TLS) ou (SSL) Secure Sockets Layer connexion, peut effectivement provoquer une résultat de pointeur NULL. Comme ceux qui ont déjà fait beaucoup la programmation peut deviner que pointeur NULL peut, à son tour, être utilisé pour frapper le programme cible le serveur hors tension. Typiquement, cela serait utilisé comme une attaque par déni de service (DoS) sur un serveur Web.
Aucun pirates ont exploité ce trou ... encore. Au moins un chercheur, David Ramos a signalé que, «Je ai [a] exploiter travail pour venir CVE-2015-0291 1.0.2 serveur DoS. Pour autant que je sais pas activé dans sauvage."
Donnez-lui du temps. Il sera utilisé contre des serveurs assez tôt.
Plusieurs autres problèmes ont également été corrigés qui peuvent conduire à des attaques DoS. Certes, il est difficile de faire de telles attaques contre ces trous secuirty, mais alors quoi? Crackers aiment rien de plus que de travailler sur les problèmes difficiles. Pour éviter d'être leur dernier jouet, ne importe quelle version de OpenSSL vous utilisez, patcher maintenant.
Lisez ce
Sept paramètres de confidentialité, vous devriez changer immédiatement dans iOS 8
Cybersécurité en 2015: À quoi se attendre
Internet des objets: une menace de sécurité pour les entreprises par la porte dérobée?
L'autre bogue sérieux, "RSA déclasse silencieusement EXPORT_RSA [Client] (CVE-2015-0204)," est tout aussi laid et plus insidieux. Celui-ci se appuie sur le dessus du trou de sécurité FREAK / SMACK OpenSSL.
FREAK causé de nombreux serveurs web, de faire appel à craquables, exportation codes cryptographiques inférieurs qui remontaient aux années 1990. Une fois une attaque FREAK obtenu un serveur web vulnérable à poignée de main avec un chiffre sécable, ce était juste une question de craquer le code et "sécuriser" les communications du serveur ont été ouverts pour le plaisir de la lecture d'un pirate. Typiquement, ces attaques ont été faites avec un (MitM) attaque Man-in-the-Middle.
Mais les failles de sécurité ont été patchés FREAK, non? Eh bien, oui, mais il se avère que, comme les développeurs OpenSSL ont dit, "alors qu'ils pensaient à l'origine de ce serveur RSA soutien exportation ciphersuite était rare: Un client ne était vulnérable à une attaque de type MITM sur un serveur qui prend en charge une exportation de chiffrement RSA. Des études récentes ont montré que RSA ciphersuites exportation soutien est beaucoup plus fréquent ".
Beaucoup, beaucoup plus commune, je pourrais ajouter.
En d'autres termes, si vous utilisez l'un des ci-dessous, vous devez mettre à jour immédiatement.
OpenSSL 1.0.1 les utilisateurs doivent mettre à jour 1.0.1k.
OpenSSL 1.0.0 les utilisateurs doivent mettre à jour 1.0.0p.
OpenSSL 0.9.8 les utilisateurs doivent mettre à jour 0.9.8zd.
Tout simplement parce que vous ne utilisez pas OpenSSL ne signifiait pas que la vieille exportation RSA, qui se était caché dans notre code pour près de 15 ans pas encore, vous pouvez obtenir. Certaines applications Android sont encore ouvertes au FREAK attaques. Si vous êtes sous Windows Internet Information Server (IIS), vous devez mettre en œuvre les correctifs Windows Mars 10th. Apple et Cisco doivent également patcher contre les problèmes FREAK.
Le Groupe de la CCN et la base pour l'Initiative d'infrastructure de la Fondation Linux (CII) travaillent tous sur l'amélioration de la sécurité de OpenSSL. Mais comme ce dernier patch de OpenSSL souligne, FREAK est avéré être beaucoup plus qu'un simple problème OpenSSL. Indépendamment de quel serveur web ou système d'exploitation que vous utilisez, vous devez vous assurer vos systèmes sont protégés contre FREAK.
Il n'a pas disparu. Il est encore juste se cacher dans l'ancien code.
Histoires connexes:
Patchs OpenSSL "haute" de défauts de gravité en dernière rele
ليست هناك تعليقات:
إرسال تعليق