Ang mga hacker ngayon ay naging matalino. Bibigyan mo sila ng isang bahagyang loophole at sinamantala nila ang mga ito upang ma-crack ang iyong code. Sa oras na ito, ang poot ng mga hacker ay bumagsak sa OpenSSL, isang bukas na mapagkukunan ng cryptographic library, na karaniwang ginagamit ng mga nagbibigay ng serbisyo sa internet.
Ngayon, ang OpenSSL ay naglabas ng isang serye na mga patch para sa anim na kahinaan. Ang dalawa sa mga kahinaan na ito ay itinuturing na labis na malubhang, kabilang ang CVE-2016-2107 at CVE-2016-2108.
Ang CVE-2016-2017, isang matinding kahinaan ang nagpapahintulot sa isang hacker na magsimula ng isang Padding Oracle Attack. Ang Padding Oracle Attack ay maaaring i-decrypt ang trapiko ng HTTPS para sa isang koneksyon sa internet na gumagamit ng cipher ng AES-CBC, na may isang server na sumusuporta sa AES-NI.
Ang Padding Oracle Attack ay nagpapahina sa proteksyon ng pag-encrypt sa pamamagitan ng pagpapahintulot sa mga hacker na magpadala ng paulit-ulit na kahilingan para sa simpleng nilalaman ng teksto tungkol sa isang naka-encrypt na nilalaman ng payload. Ang partikular na kahinaan na ito ay unang natuklasan ni Juraj Somorovsky.
Sumulat si Juraj sa isang post sa blog na, " Ang natutunan namin mula sa mga bug na ito ay ang pagtatakip ng mga aklatan ng crypto ay isang kritikal na gawain at dapat mapatunayan na may positibo pati na rin ang mga negatibong pagsubok. Halimbawa, pagkatapos ng muling pagsulat ng mga bahagi ng code ng pad ng CBC, dapat masuri ang TLS server para sa tamang pag-uugali na may mga hindi wastong mensahe sa padding. Inaasahan ko na ang TLS-Attacker ay maaaring magamit para sa ganoong gawain. "
Ang pangalawang kahinaan ng kalubhaan na tumama sa OpenSSL library ay tinatawag na CVE 2016-2018. Ito ay isang pangunahing kapintasan na nakakaapekto at sumisira sa memorya ng OpenSSL ASN.1 standard na ginagamit para sa pag-encode, pag-decode at paglilipat ng data. Ang partikular na kahinaan ay nagbibigay-daan sa mga online hacker na magsagawa at magpakalat ng nakakahamak na nilalaman sa web server.
Bagaman ang kahinaan ng CVE 2016-2018 ay naayos noong Hunyo 2015, ngunit ang epekto ng pag-update ng seguridad ay lumabo pagkatapos ng 11 buwan. Ang partikular na kahinaan ay maaaring mapagsamantala sa pamamagitan ng paggamit ng mga pasadyang at pekeng mga sertipiko ng SSL, na pinirmahan ng mga awtoridad ng sertipikasyon.
Ang OpenSSL ay naglabas din ng mga security patch para sa apat na iba pang mga menor de edad na labis na kahinaan sa parehong oras. Kabilang dito ang dalawang kahinaan sa pag-apaw, isang isyu sa pagkaubos ng memorya at isang mababang kalubhang bug na nagresulta sa di-makatwirang data ng stack na ibabalik sa buffer.
Ang mga update sa seguridad ay inilabas para sa OpenSSl bersyon 1.0.1 at OpenSSl bersyon 1.0.2. Upang maiwasan ang anumang karagdagang pinsala sa mga aklatan ng pag-encrypt ng OpenSSL, pinapayuhan ang mga administrador na i-update ang mga patch sa lalong madaling panahon.
Ang balitang ito ay orihinal na nai-publish sa The Hacker News
