Hlavní navigace

Heartbleedem to nekončí, OpenSSL oznámilo další vážné chyby

David Slížek

Nezisková OpenSSL Foundation vydala zprávu o opravách několika nově odhalených chyb v knihovně OpenSSL.

Zpráva OpenSSL Foundation popisuje sedm nových chyb, které byly v OpenSSL objeveny a opraveny. Uživatelům doporučuje update OpenSSL na nové verze.

Nejzávažnější hrozbou je chyba SSL/TLS MITM (CVE-2014–0224), kterou objevil japonský vývojář Kikuchi Masashi. Spočívá – zjednodušeně – ve využití podvržené verze iniciačního protokolu (handshake) k oslabení šifrovaného spojení, které je pak možné „odposlouchávat“ útokem typu Man-in-the-middle. Podrobný popis najdete například na blogu objevitele.

OpenSSL prý tuto chybu obsahuje úplně od začátku. Na rozdíl od nedávno odhalené chyby Heartbleed musí mít útočník ke zneužití nového bugu přímý přístup ke komunikaci mezi dvěma počítači – mohl by tak například „odposlouchávat“ SSL/TSL připojení počítače ve veřejné WiFi síti v kavárně.

Chyba ohrožuje všechny verze OpenSSL klientů a servery ve verzích 1.0.1 a 1.0.2-beta1. 

OpenSSL používá řada velkých internetových firem, včetně Googlu (v Chrome pro Android). Prohlížeče, které je neobsahují (IE, Firefox, Chrome na desktopu a v iOS nebo Safari), chybami v OpenSSL samozřejmě ohroženy nejsou.

Po nedávném odhalení bugu Heartbleed se velké společnosti sdružené v The Core Infrastructure Initiative (CII) dohodly na tom, že OpenSSL Foundation věnují peníze na dva vývojáře na plný úvazek. Obdobně podpořily také projekty OpenSSH a Network Time Protocol.

Našli jste v článku chybu?

5. 6. 2014 18:21

OpenSSL je knihovna implementujici protokol SSL. Je rozdil v tom, zda je chyba v protokolu nebo v implementaci, prosim opravte si to.

6. 6. 2014 17:48

Jenže v uzavřeném kódu máte úplně stejné možnosti. Jenom pokud to chcete kontrolovat a nevěřit slepě dodavateli, bude vás to stát mnohem víc času a peněz. Ostatně, nutnost použít decompiler žádnou bezpečnost nezvyšuje, ani nebrání chybám. Odrazuje jenom nedostatečně motivované jedince.

Takže vy si snad myslíte, že uzavřený software automaticky znamená vyšší kvalitu? Nebo o čem chcete hlasovat?

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech