همانطور که در روز سهشنبه (۸ نوامبر ۲۰۱۶) اعلام شد، شرکت OpenSSL، نسخه ۱٫۱٫۰c این نرمافزار را منتشر کرد که سه آسیبپذیری امنیتی را در این نرمافزار پوشش داده بود.
جدیترین آسیبپذیری، یک اشکال سرریز بافر(۱) heap-based است (CVE-2016-7054)، که به ارتباطات TLS(2) که از CHACHA20-POLY1305 استفاده میکنند؛ مربوط میشود.
این آسیبپذیری، توسط Robert Święcki از تیم امنیتی گوگل در ۲۵ سپتامبر ۲۰۱۶ گزارش شد که میتواند منجر به حمله DoS توسط خرابی payloadهای بزرگتر شود و در نتیجه منجر به crash کردن نرمافزار OpenSSL میشود.
شدت این عیب، بالا در نظر گرفته شده است و بر روی نسخههای ۱٫۱٫۰ به بعد تأثیرگذار نیست. اگرچه تیم OpenSSL گزارش داده است که هیچ مدرکی مبنی بر قابلیت بهرهبرداری از این آسیبپذیری برای حمله DoS وجود ندارد.
پروژه OpenSSL همچنین یک عیب دارای شدت متوسط (CVE-2016-7053) را نیز اصلاح کرده است که میتواند منجر به crash کردن نرمافزار شود. این آسیبپذیری همچنین فقط بر روی نسخه ۱٫۱٫۰ نرمافزار OpenSSL تأثیر میگذارد.
بهروزرسانی نسخه ۱٫۱٫۰c نرمافزار OpenSSL همچنین یک عیب دارای شدت کم (CVE-2016-7055) را نیز اصلاح کرده است این آسیبپذیری به روش ضرب(۳) Broadwell-specific Montgomery مربوط میشود.
این مشکل در ابتدا به عنوان یک مشکل امنیتی در نظر گرفته نشده بود، اما متخصصان اثبات کردند این آسیبپذیری میتواند توسط مهاجمان در شرایط بسیار خاص، مورد بهرهبرداری قرار گیرد.
این آسیبپذیری بر روی نسخه ۱٫۰٫۲ نرمافزار OpenSSL تأثیرگذار است اما به علت دارا بودن شدت کم این عیب، تیم مورد نظر بهروزرسانی امنیتی برای آن در این زمان منتشر نکردند. این مشکل امنیتی در نسخههای بعد از نسخه ۱٫۰٫۲ رفع خواهد شد. بنابراین به کاربران توصیه میشود که منتظر آن باشند.
به تمامی کاربران توصیه میشود که نرمافزارهای OpenSSL خود را به نسخه ۱٫۱٫۰c بهروزرسانی کنند.
مشابه اطلاعیههای قبلی، OpenSSL به کاربران خود یادآوری میکند که این شرکت از تاریخ ۳۱ دسامبر ۲۰۱۶ به بعد، نسخه ۱٫۰٫۱ نرمافزار OpenSSL را پشتیبانی نمیکند و بعد از این تاریخ دیگر هیچگونه بهروزرسانی امنیتی برای آن منتشر نخواهد کرد.
منبع
[۱] http://thehackernews.com/2016/11/openssl-patch-update.html
(۱) Buffer overflow
(۲) Transport Layer Security
(۳) Multiplication procedure
ثبت ديدگاه