OpenSSL-projektet udsendte tirsdag en større sikkerhedsopdatering, der adresserer mindst otte dokumenterede sikkerhedsfejl, der kan udsætte OpenSSL-brugere for ondsindede hackerangreb. Det skriver Security Week. Open source-projektet dokumenterede også syv moderate problemer, som bør håndteres med det samme.
OpenSSL-projektet har rettet to alvorlige sikkerhedsfejl i dets open source kryptografiske bibliotek, der bruges til at kryptere kommunikationskanaler og HTTPS-forbindelser. Det skriver Bleeping Computer og en lang række andre medier.
Der er tale om to sårbarheder med id’erne CVE-2022-3602 og CVE-2022-3786, der påvirker OpenSSL version 3.0.0 og nyere. Begge er blevet rettet i OpenSSL 3.0.7.
OpenSSL-projektet har annonceret, at opdateringer til håndtering af en kritisk sårbarhed i open source-værktøjssættet er på vej. Det skriver Security Affairs og Security Week på baggrund af en meddelelse fra OpenSSL.
Problemet består i, at RSA-implementeringer med 2048 bit private nøgler håndteres således, at 'hukommelsesoverload' vil ske under udførelse af instrukser. Som en konsekvens af hukommelsenkorruptionen kan en angriber udløse en fjerneksekvering af kode på den maskine, der udfører beregningen.
SSL/TLS-servere eller andre servere, der kører med 2048 bit RSA private nøgler på enheder, som understøtter AVX512IFMA-instruktioner for X86_64-arkitekturen, er berørt af dette problem.
OpenSSL Foundation er nu klar med version 1.1.1 af krypteringsbiblioteket OpenSSL, der anvendes i mange forskellige softwareprodukter.
Specielt implementeringen af TLS 1.3 (Transport Layer Security) er en god nyhed. Det er nemlig den nyeste version af krypteringsprotokollen.
Version 1.3 blev klar i marts 2018, og den byder både på bedre sikkerhed og et forenklet ”handshake”, hvilket betyder, at tiden det tager, at forhandle sig frem til en forbindelse mellem en server og en klient bliver reduceret betydeligt.
Udviklerne af OpenSSL har fjernet to sårbarheder. Den ene har fået risikovurderingen medium, den anden regnes for lav.
Den alvorligste af sårbarhederne kan i teorien bruges til at knække krypteringsnøgler. I praksis vil det dog være meget vanskeligt, oplyser OpenSSL: Et angreb vil kræve så store computerressourcer, at kun få angribere vil have adgang til dem.
Udviklerne opdagede sårbarhederne ved hjælp af Googles tjeneste OSS-Fuzz. Det er en såkaldt fuzzer, der afprøver sikkerheden ved at sende en stor mængde forskellige inputdata til applikationen.