2 patch جديد حياتي براي Open SSL

اخيراً پروژه Open SSL كه براي رفع مشكل حملات heart bleed تحقيق مي كرد (1)، patch هايي را براي رفع مشكل آسيب پذيري Open SSL منتشر نموده است. يكي از اين آسيب هاي حياتي OpenSSL CVE-2014-0224 Man in the Middle مي باشد كه امكان حمله man-in-the-middle را فراهم مي سازد. اين حمله امكان قطع كردن ترافيك بين كاربر آسيب پذير و سرور آسيب پذير را فراهم مي آورد. يك راه سوء استفاده از اين ضعف راه اندازي يك Wi-Fi hotspot قلابي در محيط عمومي مي باشد. اگر كاربر به اين hotspot قلابي وصل شود، حتي اگر اطلاعات رمزنگاري شود حمله گري كه آنرا كنترل مي كند، مي تواند اطلاعات را سرقت نمايد. تمامي نسخه هاي OpenSSL كلاينت ها همراه با سرورهاي نسخه 1.0.1 و 1.0.2-beta1 تحت تاثير آسيب CVE-2014-0224 مي باشند.

اين خبر 2 ماه بعد از انتشارآسيب Heartbleed اعلام گشت كه به حمله گرها امكان قطع كردن ارتباطات امن و سرقت اطلاعات را فراهم مي سازد. در واقع به نظر مي رسد كه CVE-2014-0224 مشابه Heartbleed باشد كه منجر به افشاي اطلاعات كاربر مي گردد اما از طرفي فرق هايي با آن دارد به اين صورت كه حمله گر به اجراي حمله man-in-the-middle جهت سوء استفاده از ضعف امنيتي نياز دارد، در حاليكه در Heartbleed تنها نياز است حمله گر يك پيام Heartbeat مخرب به سرور OpenSSL آسيب پذير ارسال نمايد. همچنين براي CVE-2014-0224 اگر كاربر يا سرور آسيب پذير نباشد حمله man-in-the-middle كار نمي كند.

آسيب حياتي دوم تخريب حافظه OpenSSL CVE-2014-0195 مي باشد كه پروتكل ارتباطي شبكه DTLS را تحت نفوذ قرار مي دهد. نقص مربوطه اين امكان را براي حمله گر فراهم مي آورد كه كدي را از راه دور روي كاربر يا سرور فعال سازد. در حال حاضر هيچ مدركي دال بر چگونگي امكان سوء استفاده توسط اين آسيب هاي حياتي منتشر نگرديده است.

همانگونه كه توسط آسيب Heartbleed نشان داده شد OpenSSL در سرويس ها و محصولات بي شماري مانند Web servers ، email clients، نرم افزارهاي موبايل، VPN clients، سيستم عامل و روترها به كار مي رود. پروژه OpenSSL در اين خصوص patch هايي را براي اين آسيب هاي موجود فراهم آورده است، بنابراين جهت جلوگيري از اين مشكل كاربران OpenSSL مي بايست نرم افزارها و سرورها را بررسي نموده و اصلاحات لازم مربوطه را اعمال نمايند.

در حال حاضر سيمانتك در حال بررسي اثرات مخرب بالقوه اين آسيب ها جهت جلوگيري از حملات سوء استفاده گرانه و فراهم آوردن امنيت لازم براي كاربران توسط محصول جلوگيري از نفوذ (IPS) مي باشد.

توصيه هايي براي كاربران:

  • فوراً update هاي عرضه شده از شركت توليد كننده را نصب كنيد.
  • از اتصال به Wi-Fi ناشناس و غير مطمئن خودداري كنيد.
  • مرتباً رمزهاي عبور خود را تغيير داده و از تكرار رمز پرهيز نماييد.

توصيه هايي براي مديران ارشد :

  • كاربران OpenSSL نسخه 0.9.8 مي بايست به نسخه 0.9.8za ارتقا يابند.
  • كاربران OpenSSL نسخه 1.0.0 مي بايست به نسخه 1.0.0m ارتقا يابند.
  • كاربران OpenSSL نسخه 1.0.1 مي بايست به نسخه 1.0.1h ارتقا يابد.

منبع خبر : http://www.symantec.com/connect/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed
(1) : http://arstechnica.com/security/2014/05/four-weeks-on-huge-swaths-of-the-internet-remain-vulnerable-to-heartbleed

تاريخ: چهارشنبه 21 خرداد 1393  ساعت: 

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm