وصله‎ ی آسیب‌پذیری جدی در نسخه‌ی ۱.۱.۰ توسط OpenSSL

۱۰پروژه OpenSSL روز دوشنبه به کاربران خود اطلاع داد که در حال آماده‌سازی وصله برای رفع چند آسیب‌پذیری در نسخه ۱.۱.۰ است.
OpenSSL نسخه ۱.۱.۰c که برنامه‌ریزی شده بود در تاریخ ۱۰ نوامبر منتشر شود، چندین اشکال امنیتی را برطرف می‌کند. جدی‌ترین مورد از این اشکالات در دسته «آسیب‌پذیری‌های با شدت بالا» قرار گرفته و بر روی نسخه‌های پیش از ۱.۱.۰ اثر نمی‌گذارد.

OpenSSL در ماه سپتامبر به‌روزرسانی‌هایی را منتشر کرد که چندین آسیب‌پذیری را برطرف می‌کرد، اما هیچ‌کدام از آسیب‌پذیری‌های مذکور بر روی نسخه ۱.۱.۰ تأثیرگذار نبودند.
یکی از اشکالات امنیتی که در OpenSSL ۱.۱.۰ در دسته آسیب‌پذیری‌های با درجه اهمیت کم قرار گرفته و برطرف شده، یک اشکال منع سرویس است. اشکال مذکور مربوط به تخصیص بیش از حد حافظه در تابع ()tls_get_message_header است. این آسیب‌پذیری که با CVE-۲۰۱۶-۶۳۰۷ شناخته می‌شود در دسته آسیب‌پذیری‌های با شدت کم قرار گرفته است چرا که اگر شرایط خاصی برقرار باشد امکان بهره‌برداری فراهم می‌شود.

مهندس امنیتی گوگل، رابرت سوئیکی کشف کرده است که وصله ارائه شده برای CVE-۲-۱۶-۶۳۰۷ خود یک آسیب‌پذیری حیاتی استفاده پس از آزادسازی۱ را ایجاد کرده است. آسیب‌پذیری مذکور می‌تواند موجب اختلال در عملکرد سامانه و درهم شکستن۲ آن شده و یا باعث اجرای کد دلخواه از سوی مهاجم شود. به‌روزرسانی دوم برای نسخه‌ی ۱.۱.۰ چند روز بعد برای برطرف کردن این اشکال جدید (CVE-۲۰۱۶-۶۳۰۹) ارائه شد.
در مجموع در سال جاری ۵ مورد به‌روزرسانی امنیتی برای وصله بیش از ۳۰ آسیب‌پذیری از سوی OpenSSL ارائه شده است.

۱. Use-after-free
۲. crash

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter