V OpenSSL objavených 6 nových chýb, jedna vážna existujúca 15 rokov

Značky: bezpečnosťOpenSSLInternet

DSL.sk, 6.6.2014

V masívne používanej open source knižnici OpenSSL implementujúcej protokol TLS / SSL pre dôveryhodnú šifrovanú komunikáciu cez Internet bolo objavených a vo štvrtok opravených šesť nových chýb.

Vývojári o tom informovali v tomto oznámení.

Výrazne najvážnejšou chybou je chyba CVE-2014-0224, ktorá umožňuje man-in-the-middle útočníkovi jednoducho dešifrovať alebo falšovať zasielané dáta. Tvorcovia OpenSSL ani objaviteľ chyby Kikuchi Masashi zatiaľ nezverejnili detailnú analýzu chyby, tú ale zverejnil na základe analýzy zmien v kóde známy Adam Langley.

Podľa Langleyho informácií sa chyba nachádza v implementácii úvodnej komunikácie TLS protokolu dohadujúcej použité šifry a vytvárajúcej kľúče. Knižnica OpenSSL totiž spracúva správy ChangeCipherSpec aj skôr ako by mala podľa protokolu a to v čase, keď ešte nemá vytvorené tajné kľúče. V dôsledku toho sa použije kľúč so samými nulami.

MITM útočník, ktorý dokáže zachytávať dáta zasielané komunikujúcimi stranami a posielať falošné pakety tváriace sa ako pakety zaslané stranami komunikácie, môže poslať vo fáze vytvárania spojenia falošné ChangeCipherSpec správy a tým donútiť OpenSSL používať kľúč známy útočníkovi. Následne môže poľahky odpočúvať prípadne modifikovať komunikáciu zabezpečenú TLS bez toho, aby klient alebo server hlásili akékoľvek bezpečnostné problémy.

Pre zneužitie chyby musí byť OpenSSL použitá zároveň na klientovi a serveri daného TLS spojenia. Hoci chyba je prítomná v OpenSSL už od prvých verzií knižnice z roku 1998, pre jej úspešné zneužitie musí mať OpenSSL používaná na serveri podľa tvorcov OpenSSL verziu minimálne 1.0.1.

Zneužitie chyby nezanecháva stopy v štandardných logoch a spätne ho tak nie je možné zistiť. Zároveň chybu ale nie je možné zneužiť na dešifrovanie browsovania po zabezpečených stránkach pri použití bežného webového prehliadača, keďže ani jeden z najpoužívanejších webových prehliadačov nevyužíva OpenSSL a pre zneužitie novej chyby je potrebné OpenSSL na serveri aj klientovi.

V nových verziách OpenSSL vydaných vo štvrtok boli ďalej opravené dve chyby v implementácii DTLS, TLS cez UDP, dve chyby pri neštandardnom nastavení SSL_MODE_RELEASE_BUFFERS a jedna DoS chyba v implementácii ECDH. Užívateľom je odporúčané prejsť na nové verzie 1.0.1h prípadne 1.0.0m alebo 0.9.8za.

OpenSSL, hlavná open source SSL implementácia používaná na Linuxe a mnohých serveroch, sa do povedomia aj širokej verejnosti dostala v apríli vďaka široko medializovanej chybe Heartbleed, ktorá umožnila viac ako dva roky bez stopy kradnúť dáta napríklad z webových serverov poskytujúcich HTTPS stránky. Jednou z príčin relatívne slabej úrovne bezpečnosti OpenSSL je poddimenzovanosť projektu, po Heartbleed tak najväčšie IT spoločnosti odštartovali finančnú podporu vývoja tejto kritickej zložky internetovej infraštruktúry.




Najnovšie články:



Diskusia:

ved ale Od reg.: ccccc | Pridané: 6.6.2014 11:45 ved ale to predsa nieje mozne .. miliony a miliony nadsencov den co den kontroluju otvoreny kod slobodneho softveru Odpovedať Známka: 1.6 Hodnotiť:

Re: ved ale Od: ???????????????????? | Pridané: 6.6.2014 11:52 Kontrolovat je jedna vec, najst chyby druha!!! Odpovedať Známka: 6.3 Hodnotiť:

Re: ved ale Od: pochybovač | Pridané: 6.6.2014 12:42 Takže open-source je bezpečnejší ako Windows8? Odpovedať Známka: -3.8 Hodnotiť:

Re: ved ale Od: jjjjjjjj | Pridané: 6.6.2014 14:10 tvoja mamka ti nepovedala este ze ano? Odpovedať Známka: 2.7 Hodnotiť:

Re: ved ale Od: XMen | Pridané: 8.6.2014 0:08 nie, iba chyby su medializovane a hociktora bezpecnostna firm moze analyzovat kod. Pri windows 8 mozes analyzovat max tak licenciu. Neviem co sa tu vsetci plasite ved toto je uplne normalny sposob vyvoja. Chyby sa odhaluju a opravuju. Odpovedať Známka: 5.0 Hodnotiť:

Re: ved ale Od: presne | Pridané: 9.6.2014 21:14 presne tak Odpovedať Hodnotiť:

Re: ved ale Od reg.: dukatik | Pridané: 6.6.2014 14:47 krista!!! len nedavno som menil certifikat som sa s tym jebal pol dna. Uz sa im nato vyserem. Odpovedať Známka: -2.2 Hodnotiť:

Re: ved ale Od: quix_ | Pridané: 7.6.2014 12:08 nerozculuj sa,aspon sa to naucis. ak ti to teda minule trvalo pol dna :D Odpovedať Známka: 10.0 Hodnotiť:

Zaplať si a ušetríš čas. Od: Zaplať si a ušetríš čas. | Pridané: 7.6.2014 22:54 Zaplať si a ušetríš čas. Odpovedať Známka: -2.0 Hodnotiť:

Re: Zaplať si a ušetríš čas. Od: sieťka | Pridané: 8.6.2014 8:37 Urob si to sám, ušetríš a ešte sa aj niečomu priučíš. Odpovedať Známka: 7.5 Hodnotiť:

Re: ved ale Od reg.: leader | Pridané: 6.6.2014 11:52 kazdy (!) sw ma chyby. to ze je nieco open neznamena ze bez chyb ale zrejme ina bude hustota chyb medzi otvorenym a uzavretym kodom Odpovedať Známka: 5.4 Hodnotiť:

Re: ved ale Od: Melvin | Pridané: 6.6.2014 11:59 tak to by som chcel vidiet tie chyby, co das do 'hello world'... ale sranda bokom - 100x viac sa mi, ako firme, oplati investovat do closed source riesenia, kde mi niekto dava zaruky, ze tam taketo zradnosti nie su, a kde mam vybornu podporu, ako riskovat s riesenim, do ktoreho moze ktokolvek veselo pridavat zadne dvierka. Odpovedať Známka: -8.0 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 12:01 keby si umyselne chcel spravit bezpecnostnu chybu v hello world programe, tak neni problem :-D Odpovedať Známka: 7.1 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 12:03 ale suhlasim, ze niekto moze introducenut chybu do kodu, ktora moze vyzerat nevinne a omylom, pri reviewe si ju proste nikto nevsimne a uz tam ma zadne dvierka.. napr ta chyba co bola v OSXoch nedavno, ze bol zduplikovany return line a neozatvorkovane if-y, tak to vyzera ako taka nevinna chybicka, ktoru by mohol spravit ktokolvek, v reviewe je lahko prehliadnutelna a pritom keby niekto chcel, tak su to pekne zadne dvierka Odpovedať Známka: 8.2 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 12:05 meh, jak debil som to napisal; Chcel som napisat, ze zadne dvierka sa daju napisat ako nevinne vyzerajuca chyba, ale pritom hlavnym ucelom maju byt zadne dvierka... a je to omnoho lahsie dosiahnut pri open source projektoch, kde do toho moze kazdy minglovat Odpovedať Známka: -7.1 Hodnotiť:

Re: ved ale Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 6.6.2014 12:13 S prvou castou suhlasim (zadne dvierka sa daju napisat ako nevinne vyzerajuca chyba), avsak vysvetli mi, ako je to lahsie pri opensource projektoch? Opensource znamena, ze to moze hocikto reviewnut, nie ze si moze do toho hocikto vlozit co chce (resp. moze si kazdy upravit co chce, ale to neznamena ze to bude akceptovane do povodneho projektu). Napr. verzii linuxu existuje hromada, avsak vacsinou ludia doveruju a pouzivaju len tu autorizovanu Torvaldsom. Ak som vsak zamestnanec v sukromnej firme, a navyse poznam reviewera, myslis ze je pre mna tazsie vlozit backdoor a "get away with it"? Pri closed-source sw maju vyvojari priamo nutkanie toto urobit, a su tiez ovela lahsie "motivovatelni" zvonku. Odpovedať Známka: 9.0 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 13:22 no neviem to najst, ale bol na internete niekde taky obrazok, ktory v zasade hovoril, ze ked spravis zmenu na zopar riadkov, tak sa ti nahrnie mrte vela reviewerov a zacnu mudrovat ako sa to dalo spravit efektivnejsie a lepsie, ale sprav zmenu na 1000 riadkov a nikto sa ti na to poriadne nepozrie; ostatne, ako vidis 15!!!! rokov tam bola chyba. Tym nehovorim, ze biznis prostredie je v tom lepsie, ale je jednoduchsie do open source zaviest umyselnu chybu, pretoze ked sa jedna trebars o zadne dvierka do Windowsu, musis si najst zamestnanca a podplatit; Ked chces zadne dvierka do OpenSSL, proste pushnes branch s mrte vela zmenami, malou nevinnou neviditelnou chybou a mas zadne dvierka Odpovedať Známka: -0.6 Hodnotiť:

Re: ved ale Od: ehhhhh | Pridané: 6.6.2014 22:05 Zaujmavy nazor. Odpovedať Známka: 2.5 Hodnotiť:

Re: ved ale Od: quix_ | Pridané: 7.6.2014 12:13 a uz si skusal pushnut mrte vela zmien do niecoho ako openssl? nehovoriac o tom,ze aby si presiel prvou fazou nedovery developerov musis pred tym pridavat kvalitny a spolahlivy kus kodu. nie len tak hocico. Odpovedať Známka: 1.1 Hodnotiť:

Re: ved ale Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 8.6.2014 10:45 LOL, to si naozaj myslis ze ked pushnes vela zmien, tak ti to len tak akceptuju? Skusal si niekedy postal pull request do nejakeho seriozneho projektu? V pripade Linuxu, napr., existuje hierarchia ludi (na cele s Torvaldsom), ktori autorizuju zmeny. Jednotlive moduly maju na starosti ini ludia (ktori sa v tom dobre vyznaju) a rozhoduju o tom koho akceptuju a koho nie. Mam pocit ze predstava mnohych ludi o fungovani opensource je mylna. Poviem to este raz: opensource nehovori nic o akceptovani kodu od tretich stran, znamena to iba ze kod je zverejneny. Sice vela opensource projektov akceptuje aj zmeny od tretich stran (po review-e), autori inych projektov neprijmu zvonku nic. Nezamienajme si teda "opensource" s nejakou formou managementu pull-requestov. Odpovedať Známka: 10.0 Hodnotiť:

Re: ved ale Od: 09as0d9a0sf | Pridané: 8.6.2014 11:03 Ale no tak. Praveze tvoja predstava o nepriestrelnosti open source projektov je velmi naivna :-). Vela open source projektov akceptuje commity od tretich stran vratane Linux kernelu, openssl a podobne. Pokial je tvoj patch dostatocne featuroidny tak ma velmi velku sancu dostat sa dnu. Odpovedať Známka: 5.0 Hodnotiť:

Re: ved ale Od: qqqqqqqqqqqqqqqqqqqqqq | Pridané: 9.6.2014 12:16 Problem ktory opisujes je v managemente a nie je nijak nutne spojeny s opensource. Kazdy si samozrejme sam zodpoveda za politiku prijimania pull-requestov, seriozne projekty vsak maju niekolko urovni review-ov, a uplne prva podmienka je aby bol dany clovek znamy a doveryhodny. Ak citas Linux mailing listy, tak vidis ze akceptovanie featur nie je take jednoduche a casto su odmietane aj nezavadne requesty, len pre ich nizsiu formalnu kvalitu. Opensource neznamena automaticky nejaku bezpecnost, ale poskytuje moznost verifikacie. Oproti tomu closed sw ti nedovoluje ziadnym sposobom reviewnut zdrojaky a vsetko je pred tebou zamerne a vopred skryte. Taketo prostredie je urcite aj viac motivujuce pre backdoor umysly. Odpovedať Hodnotiť:

Re: ved ale Od reg.: Trovaricon | Pridané: 6.6.2014 22:21 Tak to veru nie, nie su to chyby ktore sa prehliadaju. Aj primitivna staticka analyza, ktoru ma kazde normalne IDE (t.j. nie notepad xxx) ti rovno minimalne oznami ako warning a pri "spravnejsom" nastaveni ani neskompiluje a niet tej p*ci, ze by to to dovolilo commitnut resp. ze by presiel build. Inak maju nastavene procesy proste zle, lebo toto sa robi aj pri "trapnych business projektoch" nie to pri kniznici (nastroji) na zabezpecenie komunikacie (informacii). Odpovedať Známka: 3.3 Hodnotiť:

Re: ved ale Od reg.: pocitujlasku | Pridané: 6.6.2014 12:28 ktora firma ti dava zaruky? ved aj sam MS ma v eule zakotvene, ze za nic neruci. Odpovedať Známka: 9.3 Hodnotiť:

Re: ved ale Od: quix_ | Pridané: 7.6.2014 12:14 tiez vy som to rad vedel. ovsem ak by mu take nieco niektora firma podpisala tak sa za produkt a podporu nedoplati. Odpovedať Známka: 10.0 Hodnotiť:

Re: ved ale Od: ase | Pridané: 6.6.2014 14:49 vyborna podpora ANO zaruka ? PROSIM UVED PRODUKT ! taky windwos zadne dvierka ani nepotrebuje aby bol zranitelny ... ja sam mam firmu ktora vyuziva freeBSD,linux,windows servery no tvrdit ze jedno je lepsie ako druhe by som sa neodvazil pretoze vsetko ma svoju specificku ulohu a svoje urcenie v takom pripade si z kazdeho vyberiem to najlepsie aby navzajom co mozno najviac eliminovali svoje negativa ;) Odpovedať Známka: 8.6 Hodnotiť:

Re: ved ale Od: reakcias | Pridané: 6.6.2014 12:24 lenze chyby v uzavretom kode nevidi cely svet, len velmi mala skupina ludi Odpovedať Známka: 5.4 Hodnotiť:

Re: ved ale Od: sadgejetdhaw | Pridané: 6.6.2014 11:53 Preto bola opravena hned ako sa nasla Odpovedať Známka: 6.8 Hodnotiť:

Re: ved ale Od: erik a barbara | Pridané: 6.6.2014 11:55 po 15 rokoch Odpovedať Známka: -1.5 Hodnotiť:

Re: ved ale Od: EI3 | Pridané: 6.6.2014 12:39 Chapem ze deviataci maju problem s pochopenim pisaneho textu. Preto ti vysvetlim. Chybu nasli TERAZ a opravili ju TERAZ. Odpovedať Známka: 5.7 Hodnotiť:

Re: ved ale Od: rrrrrrrrrrrrr | Pridané: 6.6.2014 12:50 ONI ju nasli teraz, kto ju nasiel uz pred par rokmi, o tom nevies nic... Odpovedať Známka: 5.0 Hodnotiť:

Re: ved ale Od: 4565465656 | Pridané: 6.6.2014 17:30 napriklad pri windowsoch je nieco ine? za objavenie a nahasenie bezpecnostnej chyby ti da microsoft podakovanie, na ciernom trhu zato mozes vyrobit peniaze tak potom?? Odpovedať Známka: 5.4 Hodnotiť:

Re: ved ale Od: lolo21 | Pridané: 6.6.2014 12:52 Ktoré veci jemu sa zdajú naraz čo mne sa nezdá naraz? nie naraz. TERAZ. Odpovedať Známka: 5.6 Hodnotiť:

Re: ved ale Od: EI3 | Pridané: 6.6.2014 11:54 No a po case nasli chybu. V tom je to super nie? Skus najst chybu niekde vo widlach... Odpovedať Známka: 5.8 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 11:57 ved chyby vo widlach su velmi casto oznamovane a patchovane, o com davas? Odpovedať Známka: -3.9 Hodnotiť:

Re: ved ale Od: Effe | Pridané: 6.6.2014 12:10 Oznamované sú veľmi často, to je pravda, ale patchované prinajlepšom raz za mesiac no niekedy aj po trištvrte roku. Odpovedať Známka: 7.3 Hodnotiť:

Re: ved ale Od reg.: wollo | Pridané: 6.6.2014 12:12 a niekedy az po ukonceni podpori OS Odpovedať Známka: 8.9 Hodnotiť:

Re: ved ale Od: miro j. | Pridané: 6.6.2014 12:13 a niekedy ani roky sa neobtazuju chybu opravit... :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ved ale Od: Alino: | Pridané: 6.6.2014 12:21 A 4/6 celkových chýb ani nebolo zverejnených Odpovedať Známka: 8.8 Hodnotiť:

Re: ved ale Od: mulano stylo raklo pyklo | Pridané: 6.6.2014 12:54 teda NECELE 2/3??!!1 Odpovedať Známka: 10.0 Hodnotiť:

Re: ved ale Od: tak malo isto ne | Pridané: 6.6.2014 13:17 to mi pripomenulo vtip ako jano kelna pride do pizzerky a na otazku casnicky ci to chce nakrajat na 4 alebo 8 kuskov vravi ze radsej iba styri lebo osem by uz nezjedol Odpovedať Známka: 7.1 Hodnotiť:

Re: ved ale Od reg.: 100k45h | Pridané: 6.6.2014 13:25 ok, pointa bola, ze nepovedal pravdu s tym, ze najdi chybu vo widlach, ze to je nejake nemozne Odpovedať Hodnotiť:

Re: ved ale Od: dfghj | Pridané: 6.6.2014 12:39 a trvalo to len 15 rokov... /ako, mne je to jedno, nechapem ako sa dakto moze hadat za, alebo proti dakeu OS - vsetko je to v podstate to iste/ Odpovedať Známka: -3.3 Hodnotiť:

Re: ved ale Od reg.: michal6103 | Pridané: 6.6.2014 16:14 Tu sa dozvies preco je openssl take derave. https://www.youtube.com/watch?v=oM6S7FEUfkU Odpovedať Hodnotiť:

zacinam mat pocit Od: miro j. | Pridané: 6.6.2014 12:13 ze OpenSSL 1.0.1 by sa mala premenovat na "NSA special edition" ;) Odpovedať Známka: 7.1 Hodnotiť:

Tak neviem ... Od reg.: energija | Pridané: 6.6.2014 12:30 ... co si vybrat, DSL.sk predstavuje utok ako lahko realizovatelny, taky engadget.com to az tak ruzovo nevidi: "The extent of the issue is extremely limited because we're talking about specific versions of OpenSSL server. Plus, you need to be using that same server software on a client application, and the attack itself is quite a complicated affair." http://goo.gl/TyFnd6 Odpovedať Známka: 7.1 Hodnotiť:

Re: Tak neviem ... Od: Neviem | Pridané: 6.6.2014 18:06 Čo si vybrať? Ja si vyberám cukrovinky čierny princ z prvého výkladu. Odpovedať Známka: 10.0 Hodnotiť:

Re: Tak neviem ... Od: xyz. | Pridané: 6.6.2014 22:54 Ja si vyberam pani moderatorku, zabalte mi ju do cierneho vreca, dakujem! Odpovedať Známka: 10.0 Hodnotiť:

xyz.. Od: xyz. | Pridané: 6.6.2014 12:52 No, ako vidim, OpenSSL je este stale open. :) Odpovedať Známka: 10.0 Hodnotiť:

kto vlastne plati verziu 1.0x? Od: wersada | Pridané: 6.6.2014 13:57 vyzera, akoby verzie 1.x platil NSA. zlata 0.9 :-) pre tych so slabsim chapanim textu: chyba sice bola v kode uz 15 rokov, ale dakto o nu zakopol az teraz a navyse pouzitelna je len pre TLS. pre tych este jednoduchsich - kazdy SW ma chyby. uz teraz, ked ho pisete ma chyby. o par rokov si dakto vsimne, ze tam tu chybu mate, ked zacne daco haprovat. Odpovedať Známka: 0.9 Hodnotiť:

Re: kto vlastne plati verziu 1.0x? Od: lol. | Pridané: 6.6.2014 14:44 Thanks, captain Obvious! Odpovedať Známka: 7.1 Hodnotiť:

dajtwm Od: dmwtja | Pridané: 6.6.2014 15:18 cim viac bude lin percentualne popularnejsi,teda zaujimavejsi pre hackerov,tym viac ciyb sa v nom tak ako u win postupne ponachodi...zatial je pomer chyb k win 1:10 priamoumerne k poctu uzivatelov spominanych OS Odpovedať Známka: -2.5 Hodnotiť:

Re: dajtwm Od: quix_ | Pridané: 7.6.2014 14:31 what a retard :D Odpovedať Známka: -10.0 Hodnotiť:

Re: dajtwm Od: dmwtja | Pridané: 7.6.2014 17:11 yes you are m))) Odpovedať Známka: 6.7 Hodnotiť:

a teraz Od: stoneage | Pridané: 6.6.2014 16:16 a teraz gpg :D alebo radsej nie, lebo este nahodou zistime, ze podpisy na linux distrach vobec nic neznamenaju Odpovedať Známka: 7.1 Hodnotiť:

Pridať komentár