De hackers van vandaag zijn slim geworden. Je geeft ze een kleine maas in de wet en ze maken er volledig gebruik van om je code te kraken. Deze keer is de toorn van hackers gevallen op OpenSSL, een open source cryptografische bibliotheek die het meest wordt gebruikt door internetproviders.
Vandaag heeft OpenSSL een reeks patches vrijgegeven voor zes kwetsbaarheden. Twee van deze kwetsbaarheden worden als zeer ernstig beschouwd, waaronder CVE-2016-2107 en CVE-2016-2108.
De CVE-2016-2017, een ernstige kwetsbaarheid, stelt een hacker in staat om een Padding Oracle-aanval te initiëren. De Padding Oracle Attack kan HTTPS-verkeer decoderen voor een internetverbinding die AES-CBC-codering gebruikt, met een server die AES-NI ondersteunt.
De Padding Oracle Attack verzwakt de coderingsbescherming door hackers toe te staan herhaald verzoek om onbewerkte tekst over een gecodeerde inhoud te verzenden. Deze specifieke kwetsbaarheid werd voor het eerst ontdekt door Juraj Somorovsky.
Juraj schreef in een blogpost: “ Wat we van deze bugs hebben geleerd, is dat het patchen van cryptobibliotheken een kritieke taak is en moet worden gevalideerd met zowel positieve als negatieve tests. Na het herschrijven van delen van de CBC-paddingcode moet de TLS-server bijvoorbeeld worden getest op correct gedrag met ongeldige padding-berichten. Ik hoop dat TLS-Attacker ooit voor een dergelijke taak kan worden gebruikt. ”
Het tweede beveiligingslek met hoge ernst dat de OpenSSL-bibliotheek heeft getroffen, wordt CVE 2016-2018 genoemd. Het is een grote fout die het geheugen van de OpenSSL ASN.1-standaard die wordt gebruikt voor het coderen, decoderen en overdragen van gegevens beïnvloedt en beschadigt. Door deze specifieke kwetsbaarheid kunnen online hackers schadelijke inhoud uitvoeren en verspreiden via de webserver.
Hoewel het beveiligingslek CVE 2016-2018 in juni 2015 is opgelost, is de impact van de beveiligingsupdate na 11 maanden aan het licht gekomen. Deze specifieke kwetsbaarheid kan worden benut door aangepaste en valse SSL-certificaten te gebruiken, naar behoren ondertekend door certificeringsinstanties.
OpenSSL heeft ook beveiligingspatches voor vier andere kleine overstromingskwetsbaarheden tegelijkertijd vrijgegeven. Deze omvatten twee overloopkwetsbaarheden, één probleem met geheugenuitputting en één bug met lage ernst die resulteerde in het terugzenden van willekeurige stapelgegevens in de buffer.
De beveiligingsupdates zijn vrijgegeven voor OpenSSl versie 1.0.1 en OpenSSl versie 1.0.2. Om verdere schade aan OpenSSL-coderingsbibliotheken te voorkomen, wordt beheerders geadviseerd om de patches zo snel mogelijk bij te werken.
Dit nieuws werd oorspronkelijk gepubliceerd op The Hacker News
