Ещё две уязвимости в OpenSSL

Разработчики OpenSSL объявили о исправлении нескольких ошибок в своём продукте, две из которых являются критическими. Так одна ошибка с индексом CVE-2014-0224 позволяет злоумышленнику организовать MITM-атаку на SSL-туннель  в том случае если либо клиент, либо сервер использует уязвимую библиотеку OpenSSL. Злоумышленнику достаточно перехватить поток и он сможет не только расшифровать сообщения, но и модифицировать их.

Вторая уязвимость с индексом CVE-2014-0195 вообще позволяет злоумышленнику удалённо исполнить свой код на уязвимой системе - клиенте или сервере. Это можно в том случае, если библиотека OpenSSL используется на уровне DTLS. В этом случае есть возможность модифицировать DTLS-фрагмент так, чтобы вызвать переполнение буфера на целевой системе. Кроме того, обнаружены и исправлены ещё несколько уязвимостей, которые могут вызвать DoS-атаку при использовании уязвимого ПО. Рекомендуется оперативно установить оновления, чтобы не стать жертвой атак.

Ситуация с OpenSSL аналогична той, что была с продуктами Microsoft до внедрения SDL, поэтому вполне возможно, что для уязвимостей очень быстро напишут эксплойты и запустят их в соответствующие платформы. По оценкам специалистов Symantec обнаруженные уязвимости являются не менее опасными, чем в библиотеке Heartbleed, которая была обнаружена два месяца назад и вызвала много шума. Проблемы с обновлениями традиционно существуют в аппаратных устройствах, где обновления должен выпустить сам производитель. Создаётся ситуация, при которой отрасль продуктов категории Open Source не может развиваться далее без создания системы написания безопасных кодов, аналогичной SDL.

Оцените материал:
Total votes: 139
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.