Gli hacker di oggi sono diventati intelligenti. Dai loro una leggera scappatoia e ne approfittano per decifrare il tuo codice. Questa volta, l'ira degli hacker è caduta su OpenSSL, una libreria crittografica open source, utilizzata più comunemente dai fornitori di servizi Internet.
Oggi OpenSSL ha rilasciato una serie di patch per sei vulnerabilità. Due di queste vulnerabilità sono considerate molto gravi, tra cui CVE-2016-2107 e CVE-2016-2108.
Il CVE-2016-2017, una grave vulnerabilità consente a un hacker di avviare un attacco Oracle Padding. Padding Oracle Attack può decrittografare il traffico HTTPS per una connessione Internet che utilizza la crittografia AES-CBC, con un server che supporta AES-NI.
Il Padding Oracle Attack indebolisce la protezione della crittografia consentendo agli hacker di inviare richieste ripetute di contenuto in testo normale su un contenuto di payload crittografato. Questa particolare vulnerabilità è stata scoperta per la prima volta da Juraj Somorovsky.
Juraj ha scritto in un post sul blog, “ Ciò che abbiamo imparato da questi bug è che l'applicazione di patch alle librerie di criptovalute è un compito fondamentale e deve essere validata con test positivi e negativi. Ad esempio, dopo aver riscritto parti del codice di riempimento CBC, il server TLS deve essere testato per il comportamento corretto con messaggi di riempimento non validi. Spero che TLS-Attacker possa essere usato una volta per tale compito. ”
La seconda vulnerabilità ad alta gravità che aveva colpito la libreria OpenSSL si chiama CVE 2016-2018. È un grave difetto che influenza e corrompe la memoria dello standard OpenSSL ASN.1 utilizzato per codificare, decodificare e trasferire dati. Questa particolare vulnerabilità consente agli hacker online di eseguire e diffondere contenuti dannosi sul server Web.
Sebbene la vulnerabilità CVE 2016-2018 sia stata risolta nel giugno 2015, ma l'impatto dell'aggiornamento sulla sicurezza è emerso dopo 11 mesi. Questa particolare vulnerabilità può essere sfruttata utilizzando certificati SSL personalizzati e falsi, debitamente firmati dalle autorità di certificazione.
OpenSSL ha anche rilasciato patch di sicurezza per altre quattro vulnerabilità di overflow minori contemporaneamente. Questi includono due vulnerabilità di overflow, un problema di esaurimento della memoria e un bug a bassa gravità che ha comportato la restituzione di dati di stack arbitrari nel buffer.
Gli aggiornamenti di sicurezza sono stati rilasciati per OpenSSl versione 1.0.1 e OpenSSl versione 1.0.2. Per evitare ulteriori danni alle librerie di crittografia OpenSSL, si consiglia agli amministratori di aggiornare le patch il prima possibile.
Questa notizia è stata originariamente pubblicata su The Hacker News
