آسیب پذیری دیگری از OpenSSL و امكان رمزگشایی اطلاعات محرمانه
آسیب پذیری دیگری مربوط به OpenSSl کشف شده است که به مهاجم اجازه می دهد ترافیک رمز شده SSl/TLS میان کلاینت و سرور را تغییر دهد و یا رمزگشایی نماید.آسیب پذیری دیگری مربوط به OpenSSl کشف شده است که به مهاجم اجازه می دهد ترافیک رمز شده SSl/TLS میان کلاینت و سرور را تغییر دهد و یا رمزگشایی نماید. به منظور اجرای حمله موفق، در صورتیکه کلاینت و سرور آسیب پذیر به این نوع از نقطه ضعف باشند، مهاجم نیازمند شنود ارتباط میان کلاینت هدف و سرور (MITM) می باشد. این آسیب پذیری با کد CVE-2014-0224 در نسخه های Openssl1.0.1 و جدیدتر و 1.0.2-beta1 شناخته شده است.
به دلیل ضعف در الگوریتم رمزنگاری Openssl و با سو استفاده از آسیب پذیری شناسایی شده در ارتباط handshake میان کلاینت و سرور و الزام آنها به استفاده از کلید رمز قابل حدس (CWE-325)، می توان حمله توقف در سرویس دهی را به دلیل امکان ارسال متناوب پیام های CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا نمود.
نسخه های آسیب پذیر:
· تمامی کلاینت هایی که از تمامی نسخه های OpenSSl استفاده می نمایند.
· آسیب پذیری مذکور در نسخه های 1.0.1 و یا جدیدتر و 1.0.2-beta1 شناسایی شده است.
· مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه ای از مرورگرها مانند Chrome بر روی Android که از OpenSSL استفاده می نمایند آسیب پذیر می باشند.
رفع آسیب پذیری:
به منظور رفع آسیب پذیری شرح داده شده در این گزارش، می بایست سریعا از به روز رسانی های ارایه شده بر روی وب سایت Openssl استفاده نمود:
. ارتقا به نسخه های 0.9.8za ، 1.0.0m و 1.0.1h
امتیاز: 0.00
وزارت آموزش و پرورش > سازمان پژوهش و برنامهريزی آموزشی
شبکه ملی مدارس ایران رشد
ارسال ها: 1679
شما باید یک عنوان و متن وارد کنید!