خطر آسیب پذیری جدید OpenSSL با درجه اهمیت بالا

شروع موضوع توسط AHMAD ‏May 9, 2016 در انجمن اخبار وب مستر

  1. AHMAD

    AHMAD ایران وب ادمین عضو کادر مدیریت ناظر انجمن

    باز هم آسیب پذیری های دیگری با درجه اهمیت بالا از OpenSSL


    آسیب پذیری CVE-2016-2107 با درجه اهمیت بالا، اجازه حمله man-in-the-middle برای شروع " Padding Oracle Attack" را می دهد که می تواند ترافیک HTTPS را رمزگشایی کند. این اتفاق در صورتی رخ می دهد که ارتباط با استفاده از AES-CBC رمز شده باشد و سرور از AES-NI پشتیبانی کند.

    همچنین آسیب پذیری CVE-2016-2107 ناشی از نقص در شیوه ای است که OpenSSL ساختمان داده خاصی از ASN.1 را encode می کند. یک مهاجم می تواند از این نقص برای ایجاد یک گواهی ساخته شده خاص استفاده کند و در هنگام وارسی و یا encode مجدد توسط OpenSSL ، موجب crash گردد و یا برای اجرای کد دلخواه از مجوزهای کاربر برنامه در حال اجرایی که با کتابخانه OpenSSL کامپایل شده، استفاده کند.

    این نقص در پیاده سازی ASN.1 قبل از 1.0.1o و 1.0.2 پیش از 1.0.2c اجازه می دهد تا حمله از راه دور برای اجرای کد دلخواه انجام و یا منجر به denial of service در اثرbuffer underflow و memory corruption از طریق ANY field در داده serialized ساختگی گردد.

    علاوه بر دو مورد فوق، آسیب پذیری های دیگری هم با درجه اهمیت پایین در OpenSSL شامل(CVE-2016-2109 ،CVE-2016-2106 و CVE-2016-2176) کشف و رفع شده است.

    اطلاعات تکمیلی را در منابع اصلی دنبال فرمایید.


    منبع

    https://www.openssl.org/news/secadv/20160503.txt
    https://access.redhat.com/security/cve/cve-2016-2108
    http://thehackernews.com/2016/05/openssl-vulnerability.html
     

به اشتراک بگذارید

س