Heartbleedem to nekončí, OpenSSL oznámilo další vážné chyby

5. 6. 2014
Doba čtení: 1 minuta

Sdílet

Nezisková OpenSSL Foundation vydala zprávu o opravách několika nově odhalených chyb v knihovně OpenSSL.

Zpráva OpenSSL Foundation popisuje sedm nových chyb, které byly v OpenSSL objeveny a opraveny. Uživatelům doporučuje update OpenSSL na nové verze.

Nejzávažnější hrozbou je chyba SSL/TLS MITM (CVE-2014–0224), kterou objevil japonský vývojář Kikuchi Masashi. Spočívá – zjednodušeně – ve využití podvržené verze iniciačního protokolu (handshake) k oslabení šifrovaného spojení, které je pak možné „odposlouchávat“ útokem typu Man-in-the-middle. Podrobný popis najdete například na blogu objevitele.

OpenSSL prý tuto chybu obsahuje úplně od začátku. Na rozdíl od nedávno odhalené chyby Heartbleed musí mít útočník ke zneužití nového bugu přímý přístup ke komunikaci mezi dvěma počítači – mohl by tak například „odposlouchávat“ SSL/TSL připojení počítače ve veřejné WiFi síti v kavárně.

Chyba ohrožuje všechny verze OpenSSL klientů a servery ve verzích 1.0.1 a 1.0.2-beta1. 

MM 25 baliček

OpenSSL používá řada velkých internetových firem, včetně Googlu (v Chrome pro Android). Prohlížeče, které je neobsahují (IE, Firefox, Chrome na desktopu a v iOS nebo Safari), chybami v OpenSSL samozřejmě ohroženy nejsou.

Po nedávném odhalení bugu Heartbleed se velké společnosti sdružené v The Core Infrastructure Initiative (CII) dohodly na tom, že OpenSSL Foundation věnují peníze na dva vývojáře na plný úvazek. Obdobně podpořily také projekty OpenSSH a Network Time Protocol.

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).