V OpenSSL opäť kritická chyba, umožňuje sa preukázať falošným certifikátom

Značky: OpenSSLSSL / TLSbezpečnosťInternet

DSL.sk, 10.7.2015

V knižnici OpenSSL implementujúcej protokol SSL / TLS používaný pre šifrovanie dátovej komunikácie viacerých protokolov vrátane HTTPS pre prístup k zabezpečeným webovým stránkam sa nachádza ďalšia vážna bezpečnostná chyba.

Tvorcovia to oznámili vo štvrtok.

Bezpečnosť SSL / TLS spojení medzi dvomi predtým nekomunikujúcimi stranami zabezpečujú certifikáty s použitím asymetrického šifrovania vydávané v prípade použitia na serveroch pre jednotlivé domény. Certifikáty sú vydávané certifikačnými autoritami a kryptograficky podpisované za vzniku certifikačnej reťaze, cesty, od koncového certifikátu pre doménu až po jeden z dôveryhodných certifikátov certifikačných autorít priamo zabudovaný v softvéroch.

Napríklad pri návšteve webovej HTTPS stránky prehliadač užívateľa skontroluje, či sa server preukazuje platným riadne podpísaným certifikátom. To garantuje, že naozaj komunikuje so serverom patriacim vlastníkovi navštívenej domény.

V OpenSSL sa ale nachádza chyba, ktorá overí ako platný aj v skutočnosti neplatný certifikát. Konkrétne overí ako platný certikát, ktorý je podpísaný obyčajným koncovým certifikátom už bez príznaku a povolenia podpisovať ďalšie certifikáty.

Prichádza k tomu pri snahe OpenSSL nájsť platnú certifikačnú cestu druhýkrát po prvom neúspešnom pokuse vytvoriť platnú certifikačnú cestu. Pri druhom pokuse už ale nie je kontrolované, či podpisujúci certifikát má nastavený príznak CA povoľujúci mu podpisovať ďalšie certifikáty.

Útočník vlastniaci platný certifikát si tak môže vytvoriť certifikát pre úplne ľubovoľnú doménu, ktorý považuje knižnica OpenSSL za platný. Útočník sa tak pri skombinovaní s Man-In-The-Middle útokom môže voči klientského softvéru využívajúcemu OpenSSL vydávať za ľubovoľný webový alebo iný server. Podobne si je možné vytvárať falošné klientské certifikáty.

Chyba sa nachádza len v posledných verziách OpenSSL 1.0.2b, 1.0.2c, 1.0.1n, 1.0.1o vydaných v júni a opravená je v nových verziách 1.0.2d a 1.0.1p. V stále podporovaných verziách 0.9.8 a 1.0.0 sa nenachádza.

Hoci chyba sama o sebe je vážna, jej praktický dopad nie je zďaleka taký veľký ako v prípade Heartbleed. OpenSSL sa totiž využíva najmä na serveroch, voči ktorým je chybu možné zneužiť len preukázaním sa falošným klientským certifikátom. Takýto spôsob autentifikácie sa ale masovo nevyužíva.

V klientských softvéroch vrátane najpoužívanejších webových prehliadačov sa väčšinou používajú iné knižnice. Chrome využíval OpenSSL, už pred časom prešiel ale na jej vlastný fork BoringSSL a chyba sa do tejto verzie nepreniesla. OpenSSL používa v niektorých verziách aj Android, chyba sa tu podľa Google rovnako nenachádza.




Najnovšie články:



Diskusia:

dnes má meniny Anomália Od: Pošli kvety je už zaregistrované | Pridané: 10.7.2015 8:58 Ještě že tady používáme http, tam ta chyba nehrozí. Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Anomália Od reg.: K-NinetyNine | Pridané: 10.7.2015 9:59 ale nemas istotu ze citas skutocne dsl.sk co ked sem zajtra budes chciet prist ale v skutocnosti budes presmerovany na servery piana tvariace sa ako dsl.sk a precitas si tu clanok o tom ako je piano super, ako funguje a ze aj dsl cez nich spoplatni obsah? Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Anomália Od: dzeah | Pridané: 10.7.2015 10:31 to sa predsa nemoze stat, ved predsa vsetci citatelia dsl klikaju na reklamy Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Anomália Od: klikac | Pridané: 10.7.2015 13:34 kua si ma vystrasil, odteraz vypinam adblock a zacnem klikat na tie reklamy Odpovedať Známka: 7.1 Hodnotiť:

Re: dnes má meniny Anomália Od: kubi | Pridané: 12.7.2015 9:55 mudro hutoris ... i vypnem aj ja adblock pre tuto domenu ... Odpovedať Hodnotiť:

Re: dnes má meniny Anomália Od: qwerty/z | Pridané: 10.7.2015 13:41 na dsl su reklamy? Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Anomália Od: trosku | Pridané: 10.7.2015 17:21 trosku Odpovedať Známka: 10.0 Hodnotiť:

open source Od: Pater Pio | Pridané: 10.7.2015 9:06 a hla! tajomstvo open source zvestovane! vecna chvala zdrojakom, do ktorych kazdy vidi! cest aj komunite, ktore kazdy kontroluje! ucta vsetkym, ktory nam ponukaju bezchybny kod! naveky amen! Odpovedať Známka: -5.1 Hodnotiť:

Re: open source Od reg.: Uhlik | Pridané: 10.7.2015 9:12 veru a vecna slava open source, do ktoreho moze kazdy prispiet vlastnou bezpecnostnou chybou ;) ... amen ... Odpovedať Známka: -4.6 Hodnotiť:

Re: open source Od: PCnityXXX | Pridané: 10.7.2015 9:53 Prave vdaka OpenSource sa o tych chybach dozvies a su nasledne opravene... Dilino. Odpovedať Známka: 5.6 Hodnotiť:

Re: open source Od: Jan Hus | Pridané: 10.7.2015 9:56 Ale čo nepovieš. Mne to pripadá presne opačne. Čím viac hláv, tým viac kapusty... Odpovedať Známka: -1.4 Hodnotiť:

Re: open source Od: 4645646 | Pridané: 10.7.2015 10:00 kapusta je predsa dobra Odpovedať Známka: 8.7 Hodnotiť:

Re: open source Od: Borat | Pridané: 10.7.2015 13:57 Kapusta je sice bubak ale nic vam nespravi. HS Odpovedať Hodnotiť:

Re: open source Od: masak | Pridané: 10.7.2015 10:11 Ked ty do openSSL dokazes nieco pripisat a bude to v dalsej verzii, tak ta pokojne aj pohonkam, ale inak bud potíšku ;-) Odpovedať Známka: 4.5 Hodnotiť:

Re: open source Od: jetotak | Pridané: 10.7.2015 11:05 Každý opensource projekt má svojho Mainteinera nemože sa stať že ktokolvek môže doňho prispievať lubovolne. Každý ale može kód forknuť a založiť si napríklad svoj RealyOpenAndFreeSSL Odpovedať Známka: 10.0 Hodnotiť:

Re: open source Od: Kapor z Vane | Pridané: 10.7.2015 16:16 ROAR-SSL... na ten by som presiel Odpovedať Hodnotiť:

Re: open source Od reg.: K-NinetyNine | Pridané: 10.7.2015 10:02 a nebodaj si cakal ze open source je dokonale a neobsahuje ziadne chyby? sklamem ta, neexistuje nic take ako dokonaly kod. open source mal, ma a bude mat problemy, viac aj menej vazne. stale je to ale lepsie ako proprietarny kod. hlavne od spolocnosti, ktore po objaveni chyby ju nevedia odstranit skor ako tyzden po jej zverejneni. v openSSL ocakavaj update este dnes Odpovedať Známka: 6.7 Hodnotiť:

Re: open source Od: Japster | Pridané: 10.7.2015 10:13 Wav... a títo čo také dokážu zodpovedne opraviť a kedy? Neporovnávaj obrovské produkty s miliardu zákazníkov s nejakými prďolami! Odpovedať Známka: -6.7 Hodnotiť:

Re: open source Od: fuj štvrté | Pridané: 10.7.2015 10:27 Ty inteligent, dočítať až po "ešte dnes" je už nad tvoje schopnosti? Odpovedať Známka: 6.7 Hodnotiť:

Re: open source Od: Japster | Pridané: 10.7.2015 10:29 Ty sa nauč najskôr čítať vôbec. Odpovedať Známka: -6.7 Hodnotiť:

Re: open source Od: Čech vrch | Pridané: 10.7.2015 10:39 Logika ti tiež veľmi nejde. Odpovedať Známka: 6.9 Hodnotiť:

Re: open source Od reg.: K-NinetyNine | Pridané: 10.7.2015 11:08 zverejni kriticku chybu v jadre Windowsu/MacOS a ocakavaj do mesiaca s pravidelnymi updatmi opravu. zverejni kriticku chybu v jadre linuxu a najneskor zajtra rano mas patch ktory si mozes aplikovat sam, pripadne do par dni bude aplikovany vo vsetkych major distribuciach. a ked sme pri zakaznikoch: openSSL vyuziva vyac zakaznikov nez windows 7. nie na desktopoch sice, ale za kazdy desktop ti niekde bezi niekolko serverov. vacsina z nich na linuxoch/unixoch, z nich vacsina s openSSL. tolko k tvojim prdolatam ktore su na viac strojoch nez do kolko vie tvoja kalkulacka pocitat. Odpovedať Známka: 7.8 Hodnotiť:

Re: open source Od reg.: K-NinetyNine | Pridané: 10.7.2015 11:09 vyac... do smrti nepochopim ako sa mi toto mohlo podarit :D Odpovedať Známka: 5.0 Hodnotiť:

Re: open source Od: funny bunny | Pridané: 12.7.2015 20:27 standardny jazykovy problem - ked si vymyslal chujoviny, mozog ma problem spravne riesit ine veci /v tvojom pripade tipovat pravopis/. teda, cim viac kokotin trepes - tym horsie to s tebou vyzera. a duplom, ak nie si skalopevne presvedceny o tom, co vlastne pises. Odpovedať Známka: 3.3 Hodnotiť:

Re: open source Od: funny bunny | Pridané: 12.7.2015 20:24 neviem-neviem... oprav ma, ak sa mylim, ta chyba, ktora ti 'akosi pozabudla' skopirovat niektore subory na externy disk uz bola opravena? nahlasene to bolo v 2008... :D a dalej pokracujeme: prehrievanie cpu, crash kernelu, page allocation... bugy a chyby, ktore su uz roky nahlasene a tahaju sa pomaly od 2.6 kernelu... keby clovek fakt chcel, tak ti najde stovky (mozno aj tisice) kritickych chyb, s ktorymi uz x rokov musia linuxaci zit... Odpovedať Hodnotiť:

Re: open source Od: sdg sdfa | Pridané: 13.7.2015 22:09 Blbosti pises ani o tom nevies. Venuj sa radsej plataniu Windows. Odpovedať Hodnotiť:

Re: open source Od: funny bunny | Pridané: 13.7.2015 23:09 takze nie... ake prekvapive... Odpovedať Hodnotiť:

Re: open source Od: asi_ne | Pridané: 10.7.2015 12:54 > hlavne od spolocnosti, ktore po objaveni chyby ju nevedia odstranit skor ako tyzden po jej zverejneni tak prr.. docela velka cast slusnych ludi, co chybu najde, take veci nahlasi cez nejaky private ticket alebo podobne; az ked aj po 2-3 mesiacoch ta chyba je stale dostupna, to daju aj verejnosti, aby donutili firmu konat Odpovedať Známka: 5.0 Hodnotiť:

Re: open source Od: Jan Hus | Pridané: 10.7.2015 21:31 No nie je to také jednoduché, pretože - napríklad ak mili=onu ľudí vadí to, inému miliónu 200.000 zasa ono a ďalším 5 mili=onom zakázníkom to za istých okolností neprekáža, tačko sa niekedy hľadá rozumný všeobecne prijatý kompromis. Napr. firma Novell vydala nejakú aplikáciu s nejakou už neviem čo to presne bolo, no u nás hovadinou, ale trval dosť slušný čas kým to aj v emerike uznali, že inak zmýšľajúcim ľuďom to nemusí vyhovovať, resp. až vadí a že potom vydali na to patch - opravu. Odpovedať Hodnotiť:

Re: open source Od: asi_ne | Pridané: 10.7.2015 21:40 pravda... ale ked ide o nejaku bezpecnostnu chybu, tam by firma nemala velmi rozmyslat ze o kolko tyzdnov ju opravi, aku fjucru uprednostnit a podobne Odpovedať Hodnotiť:

Re: open source Od: Jan Hus | Pridané: 10.7.2015 21:48 No si predstav, koľko toho Mrkvosft softvérovo tvorí! Každá procesorová architektúra a každá verzia Windows má odlišné aktualizácie! A ešte sa zisťuje čo je v konkrétnom stroji! Aktualizácie mnohé nie sú až tak univerzálne, ako sa vám mnohým zdá!!! Odpovedať Hodnotiť:

Re: open source Od: XMen | Pridané: 13.7.2015 11:21 Urcite lepsie ako napr. taky uzatvoreny flash ;) Odpovedať Hodnotiť:

Re: open source Od: Pater Pio | Pridané: 13.7.2015 16:28 https://imgur.com/zd7Cmrr.jpg Odpovedať Hodnotiť:

aaaa55 Od: aladar4585 | Pridané: 10.7.2015 9:55 alebo patchom Odpovedať Hodnotiť:

Pridať komentár