Hlavní navigace

Heartbleedem to nekončí, OpenSSL oznámilo další vážné chyby

David Slížek

Nezisková OpenSSL Foundation vydala zprávu o opravách několika nově odhalených chyb v knihovně OpenSSL.

Zpráva OpenSSL Foundation popisuje sedm nových chyb, které byly v OpenSSL objeveny a opraveny. Uživatelům doporučuje update OpenSSL na nové verze.

Nejzávažnější hrozbou je chyba SSL/TLS MITM (CVE-2014–0224), kterou objevil japonský vývojář Kikuchi Masashi. Spočívá – zjednodušeně – ve využití podvržené verze iniciačního protokolu (handshake) k oslabení šifrovaného spojení, které je pak možné „odposlouchávat“ útokem typu Man-in-the-middle. Podrobný popis najdete například na blogu objevitele.

OpenSSL prý tuto chybu obsahuje úplně od začátku. Na rozdíl od nedávno odhalené chyby Heartbleed musí mít útočník ke zneužití nového bugu přímý přístup ke komunikaci mezi dvěma počítači – mohl by tak například „odposlouchávat“ SSL/TSL připojení počítače ve veřejné WiFi síti v kavárně.

Chyba ohrožuje všechny verze OpenSSL klientů a servery ve verzích 1.0.1 a 1.0.2-beta1. 

UX17_snitker

OpenSSL používá řada velkých internetových firem, včetně Googlu (v Chrome pro Android). Prohlížeče, které je neobsahují (IE, Firefox, Chrome na desktopu a v iOS nebo Safari), chybami v OpenSSL samozřejmě ohroženy nejsou.

Po nedávném odhalení bugu Heartbleed se velké společnosti sdružené v The Core Infrastructure Initiative (CII) dohodly na tom, že OpenSSL Foundation věnují peníze na dva vývojáře na plný úvazek. Obdobně podpořily také projekty OpenSSH a Network Time Protocol.

Našli jste v článku chybu?
5. 6. 2014 18:21

OpenSSL je knihovna implementujici protokol SSL. Je rozdil v tom, zda je chyba v protokolu nebo v implementaci, prosim opravte si to.

6. 6. 2014 17:48

Jenže v uzavřeném kódu máte úplně stejné možnosti. Jenom pokud to chcete kontrolovat a nevěřit slepě dodavateli, bude vás to stát mnohem víc času a peněz. Ostatně, nutnost použít decompiler žádnou bezpečnost nezvyšuje, ani nebrání chybám. Odrazuje jenom nedostatečně motivované jedince.

Takže vy si snad myslíte, že uzavřený software automaticky znamená vyšší kvalitu? Nebo o čem chcete hlasovat?