خطر آسیب پذیری جدید OpenSSL با درجه اهمیت بالا

AHMAD

ایران وب ادمین
عضو کادر مدیریت
ناظر انجمن
عضویت
28/1/15
ارسال ها
145
امتیاز
6
محل سکونت
Matt Cutts Office
وب سایت
www.rastana.com
باز هم آسیب پذیری های دیگری با درجه اهمیت بالا از OpenSSL


آسیب پذیری CVE-2016-2107 با درجه اهمیت بالا، اجازه حمله man-in-the-middle برای شروع " Padding Oracle Attack" را می دهد که می تواند ترافیک HTTPS را رمزگشایی کند. این اتفاق در صورتی رخ می دهد که ارتباط با استفاده از AES-CBC رمز شده باشد و سرور از AES-NI پشتیبانی کند.

همچنین آسیب پذیری CVE-2016-2107 ناشی از نقص در شیوه ای است که OpenSSL ساختمان داده خاصی از ASN.1 را encode می کند. یک مهاجم می تواند از این نقص برای ایجاد یک گواهی ساخته شده خاص استفاده کند و در هنگام وارسی و یا encode مجدد توسط OpenSSL ، موجب crash گردد و یا برای اجرای کد دلخواه از مجوزهای کاربر برنامه در حال اجرایی که با کتابخانه OpenSSL کامپایل شده، استفاده کند.

این نقص در پیاده سازی ASN.1 قبل از 1.0.1o و 1.0.2 پیش از 1.0.2c اجازه می دهد تا حمله از راه دور برای اجرای کد دلخواه انجام و یا منجر به denial of service در اثرbuffer underflow و memory corruption از طریق ANY field در داده serialized ساختگی گردد.

علاوه بر دو مورد فوق، آسیب پذیری های دیگری هم با درجه اهمیت پایین در OpenSSL شامل(CVE-2016-2109 ،CVE-2016-2106 و CVE-2016-2176) کشف و رفع شده است.

اطلاعات تکمیلی را در منابع اصلی دنبال فرمایید.


منبع

https://www.openssl.org/news/secadv/20160503.txt
https://access.redhat.com/security/cve/cve-2016-2108
http://thehackernews.com/2016/05/openssl-vulnerability.html
 
بالا