OpenSSL

همان‌طور که در روز سه‌شنبه (۸ نوامبر ۲۰۱۶) اعلام شد، شرکت OpenSSL، نسخه ۱٫۱٫۰c این نرم‌افزار را منتشر کرد که سه آسیب‌پذیری امنیتی را در این نرم‌افزار پوشش داده بود.

جدی‌ترین آسیب‌پذیری، یک اشکال سرریز بافر(۱) heap-based است (CVE-2016-7054)، که به ارتباطات TLS(2) که از CHACHA20-POLY1305 استفاده می‌کنند؛ مربوط می‌شود.

این آسیب‌پذیری، توسط Robert Święcki از تیم امنیتی گوگل در ۲۵ سپتامبر ۲۰۱۶ گزارش شد که می‌تواند منجر به حمله DoS توسط خرابی payloadهای بزرگتر شود و در نتیجه منجر به crash کردن نرم‌افزار OpenSSL می‌شود.

شدت این عیب، بالا در نظر گرفته شده است و بر روی نسخه‌های ۱٫۱٫۰ به بعد تأثیرگذار نیست. اگرچه تیم OpenSSL گزارش داده است که هیچ مدرکی مبنی بر قابلیت بهره‌برداری از این آسیب‌پذیری برای حمله DoS وجود ندارد.

پروژه OpenSSL همچنین یک عیب‌ دارای شدت متوسط (CVE-2016-7053) را نیز اصلاح کرده است که می‌تواند منجر به crash کردن نرم‌افزار شود. این آسیب‌پذیری همچنین فقط بر روی نسخه ۱٫۱٫۰ نرم‌افزار OpenSSL تأثیر می‌گذارد.

به‌روزرسانی نسخه ۱٫۱٫۰c نرم‌افزار OpenSSL همچنین یک عیب دارای شدت کم (CVE-2016-7055) را نیز اصلاح کرده است این آسیب‌پذیری به روش ضرب(۳) Broadwell-specific Montgomery مربوط می‌شود.

این مشکل در ابتدا به عنوان یک مشکل امنیتی در نظر گرفته نشده بود، اما متخصصان اثبات کردند این آسیب‌پذیری می‌تواند توسط مهاجمان در شرایط بسیار خاص، مورد بهره‌برداری قرار گیرد.

این آسیب‌پذیری بر روی نسخه ۱٫۰٫۲ نرم‌افزار OpenSSL تأثیرگذار است اما به علت دارا بودن شدت کم این عیب، تیم مورد نظر به‌روزرسانی امنیتی برای آن در این زمان منتشر نکردند. این مشکل امنیتی در نسخه‌های بعد از نسخه ۱٫۰٫۲ رفع خواهد شد. بنابراین به کاربران توصیه می‌شود که منتظر آن باشند.

به تمامی کاربران توصیه می‌شود که نرم‌افزارهای OpenSSL خود را به نسخه ۱٫۱٫۰c به‌روزرسانی کنند.

مشابه اطلاعیه‌های قبلی، OpenSSL به کاربران خود یادآوری می‌کند که این شرکت از تاریخ ۳۱ دسامبر ۲۰۱۶ به بعد، نسخه ۱٫۰٫۱ نرم‌افزار OpenSSL را پشتیبانی نمی‌کند و بعد از این تاریخ دیگر هیچ‌گونه به‌روزرسانی امنیتی برای آن منتشر نخواهد کرد.

منبع

[۱] http://thehackernews.com/2016/11/openssl-patch-update.html


(۱) Buffer overflow
(۲) Transport Layer Security
(۳) Multiplication procedure