اقدام OpenSSL مبنی بر رفع چندین آسیب‌پذیری خطرناک

۱۸۶۷پروژه‌ی OpenSSL روز دوشنبه اعلام کرد که به‌زودی به‌روزرسانی‌هایی را عرضه خواهد کرد که چندین آسیب‌پذیری از جمله یک آسیب‌پذیری با خطر بالا را وصله می‌کند.

طبق این اطلاعیه، وصله‌های لازم برای نسخه‌های ۱.۱.۰a ،۱.۰.۲i و ۱.۰.۱u محصول OpenSSL در روز سه‌شنبه ۲۲ سپتامبر حدود ساعت ۸ عرضه خواهند شد. درباره این نسخه‌ها اطلاعات چندانی در دست نیست اما OpenSSL می‌گوید ‌یکی از آسیب‌پذیری‌های کشف‌شده درجه خطر بالا را داشته است و یکی دیگر از آن‌ها درجه خطر متوسط و بقیه نیز درجه خطر کم داشته‌اند.

احتمال بهره‌برداری از اشکال‌های دارای درجه خطر بالا در مقابل آسیب‌پذیری‌های بحرانی کمتر است. توسعه‌دهندگان این شرکت به‌طورکلی پس از شناسایی اشکال‌ها، طی یک ماه اقدام به اطلاع‌رسانی درباره آن‌ها می‌کنند.

این شرکت همچنین بار دیگر به کاربران خود یادآوری کرد که پشتیبانی‌های موجود برای نسخه ۱.۰.۱ در تاریخ ۳۱ دسامبر پایان خواهد یافت. همچنین این شرکت اعلام کرد که بخش پشتیبانی نسخه ۱.۱.۰ از روز ۲۵ آگوست آغاز خواهد شد.

نکته‌ای که در مورد فعالیت‌های OpenSSL در خصوص آسیب‌پذیری‌ها و فرآیند رفع آن‌ها قابل‌ذکر است،‌ این است که این شرکت سه دوره فرآیند به‌روزرسانی را طی سال جاری تا به اینجا عرضه کرده است که طی این دوره‌ها ۱۶ آسیب‌پذیری رفع شده‌اند. آخرین دوره در این خصوص در اوایل ماه می انجام شد. در این دوره،‌ این متخصصان امنیتی شرکت یک آسیب‌پذیری با شناسه CVE-۲۰۱۶-۲۱۰۷ را که در سال ۲۰۱۳ کشف شد و مربوط به حملات Lucky ۱۳ TLS بود، رفع کردند.

این حفره امنیتی به یک نفوذگر مرد میانی امکان می‌دهد در زمانی که اتصال موجود از رمز AES CBC استفاده کرده و کارگزار از دستورالعمل‌های AES-NI پشتیبانی می‌کند ترافیک را رمزگشایی کند. شایان‌ذکر است که تنها سه هفته پس از طراحی وصله‌های موردنیاز برای رفع این آسیب‌پذیری، محققان اعلام کردند که بسیاری از وبگاه‌های مهم در سراسر دنیا از این وصله‌ها استفاده نکرده‌اند.

نکته مهم در خصوص به‌روزرسانی‌های ماه مارس OpenSSL این است که این به‌روزرسانی‌ها به‌منظور رفع DROWN طراحی شده‌ بودند. روش DROWN یک روش برای انجام حملات چند پروتکلی است که نفوذگران می‌توانند با استفاده از آن ارتباطات رمزنگاری‌شده را رمزگشایی کرده و اطلاعات محرمانه را به سرقت ببرند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.