OpenSSL załatany

Przedstawiciele projektu OpenSSL udostępnili zaktualizowaną wersję popularnej biblioteki OpenSSL. Załatano w niej lukę, umożliwiającą wywołanie DoS (denial-of-service). Co ciekawe zagrożenie powstało wraz z wprowadzeniem poprawek 6 stycznia.

Polecamy:

• System certyfikatów SSL - czas na zmiany
• 2012 - rok przełomowy dla internetu?
• IPv6 w pytaniach i odpowiedziach

"W aktualizacji, której zadaniem było rozwiązanie problemu opisanego w CVE-2011-4108 znajdował się błąd, który mógł być wykorzystany do przeprowadzenia ataku DoS. Został on już usunięty w najnowszych wydaniach OpenSSL: 1.0.0g oraz 0.9.8t" - tłumaczą przedstawiciele projektu.

Błąd, o którym mowa w CVE-2011-4108, znajdował się w wykorzystanej w OpenSSL implementacji protokołu DTLS (Datagram Transport Layer Security), umożliwiającego deszyfrowanie bezpiecznej komunikacji bez znajomości klucza szyfrującego. Został on wykryty przez Nadhema Alfardana oraz Kenny'ego Patersona z działającej w ramach Uniwersytetu Londyńskiego Information Security Group podczas badań nad trybem CBC (Cipher-block chaining). Usunięty został 6 stycznia (w wersjach 1.0.0f i 0.9.8s)

Użytkownikom, którzy jeszcze nie zaktualizowali OpenSSL do wydań 1.0.0f lub 0.9.8s zaleca się ich pominięcie i przejście od razu do najnowszych wersji 1.0.0g lub 0.9.8t.

Dodajmy, że oprogramowanie OpenSSL dostęne jest m.in. dla Linuksa, Solarisa, Mac OS X, BSD, Windows oraz OpenVMS (do niektórych z tych OS-ów biblioteka jest zaimplementowana, dlatego też poprawki zostaną dostarczane za pomocą systemowych mechanizmów aktualizacyjnych).

Więcej informacji: OpenSSL.