Home |

2 patch جديد حياتي براي Open SSL

اخيراً پروژه Open SSL که براي رفع مشکل حملات heart bleed تحقيق مي کرد (1)، patch هايي را براي رفع مشکل آسيب پذيري Open SSL منتشر نموده است. يکي از اين آسيب هاي حياتي OpenSSL CVE-2014-0224 Man in the Middle مي باشد که امکان حمله man-in-the-middle را فراهم مي سازد. اين حمله امکان قطع کردن ترافيک بين کاربر آسيب پذير و سرور آسيب پذير را فراهم مي آورد. يک راه سوء استفاده از اين ضعف راه اندازي يک Wi-Fi hotspot قلابي در محيط عمومي مي باشد. اگر کاربر به اين hotspot قلابي وصل شود، حتي اگر اطلاعات رمزنگاري شود حمله گري که آنرا کنترل مي کند، مي تواند اطلاعات را سرقت نمايد. تمامي نسخه هاي OpenSSL کلاينت ها همراه با سرورهاي نسخه 1.0.1 و 1.0.2-beta1 تحت تاثير آسيب CVE-2014-0224 مي باشند.

اين خبر 2 ماه بعد از انتشارآسيب Heartbleed اعلام گشت که به حمله گرها امکان قطع کردن ارتباطات امن و سرقت اطلاعات را فراهم مي سازد. در واقع به نظر مي رسد که CVE-2014-0224 مشابه Heartbleed باشد که منجر به افشاي اطلاعات کاربر مي گردد اما از طرفي فرق هايي با آن دارد به اين صورت که حمله گر به اجراي حمله man-in-the-middle جهت سوء استفاده از ضعف امنيتي نياز دارد، در حاليکه در Heartbleed تنها نياز است حمله گر يک پيام Heartbeat مخرب به سرور OpenSSL آسيب پذير ارسال نمايد. همچنين براي CVE-2014-0224 اگر کاربر يا سرور آسيب پذير نباشد حمله man-in-the-middle کار نمي کند.

آسيب حياتي دوم تخريب حافظه OpenSSL CVE-2014-0195 مي باشد که پروتکل ارتباطي شبکه DTLS را تحت نفوذ قرار مي دهد. نقص مربوطه اين امکان را براي حمله گر فراهم مي آورد که کدي را از راه دور روي کاربر يا سرور فعال سازد. در حال حاضر هيچ مدرکي دال بر چگونگي امکان سوء استفاده توسط اين آسيب هاي حياتي منتشر نگرديده است.

همانگونه که توسط آسيب Heartbleed نشان داده شد OpenSSL در سرويس ها و محصولات بي شماري مانند Web servers ، email clients، نرم افزارهاي موبايل، VPN clients، سيستم عامل و روترها به کار مي رود. پروژه OpenSSL در اين خصوص patch هايي را براي اين آسيب هاي موجود فراهم آورده است، بنابراين جهت جلوگيري از اين مشکل کاربران OpenSSL مي بايست نرم افزارها و سرورها را بررسي نموده و اصلاحات لازم مربوطه را اعمال نمايند.

در حال حاضر سيمانتک در حال بررسي اثرات مخرب بالقوه اين آسيب ها جهت جلوگيري از حملات سوء استفاده گرانه و فراهم آوردن امنيت لازم براي کاربران توسط محصول جلوگيري از نفوذ (IPS) مي باشد.

توصيه هايي براي کاربران:

  • فوراً update هاي عرضه شده از شرکت توليد کننده را نصب کنيد.
  • از اتصال به Wi-Fi ناشناس و غير مطمئن خودداري کنيد.
  • مرتباً رمزهاي عبور خود را تغيير داده و از تکرار رمز پرهيز نماييد.

توصيه هايي براي مديران ارشد :

  • کاربران OpenSSL نسخه 0.9.8 مي بايست به نسخه 0.9.8za ارتقا يابند.
  • کاربران OpenSSL نسخه 1.0.0 مي بايست به نسخه 1.0.0m ارتقا يابند.
  • کاربران OpenSSL نسخه 1.0.1 مي بايست به نسخه 1.0.1h ارتقا يابد.

منبع خبر : connect/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed
(1) : http://arstechnica.com/security/2014/05/four-weeks-on-huge-swaths-of-the-internet-remain-vulnerable-to-heartbleed


تاريخ: چهارشنبه 21 خرداد 1393  ساعت: