? Du måste tillämpa OpenSSL plåster dag, inte i morgon

Vid första anblicken kan du inte tror att den senaste uppsättningen av OpenSSL säkerhetskorrigeringar är så viktigt. Visst, det finns ett dussin av dem och två är allvarliga, men de verkligen så illa? Ja, faktiskt de inte bara dåligt, de är fruktansvärda.

Det är sant att vissa operativsystem, som Red Hat Linux Enterprise (RHEL), är inte mycket påverkas av dessa senaste problem. Men om du använder ett operativsystem som använder OpenSSL 1.0.2 eller OpenSSL versioner: 1.0.1, 1.0.0 och 0.9.8, det är en annan historia.

I fallet med OpenSSL 1.0.2, är det första problemet barn “Client sigalgs DoS (CVE-2015-0291).” Med denna bugg en kund, samtidigt som du tittar ut som om det försökte förhandla fram ett Transport Layer Security (TLS) eller Secure Sockets Layer (SSL), kan faktiskt framkalla en NULL-pekare resultat. Som alla som någonsin gjort mycket programmering kan gissa att NULL pekare kan i sin tur användas för att slå målprogrammet av servern. Typiskt skulle kunna användas som en Denial of Service (DoS) attack på en webbserver.

Inga hackare har utnyttjat detta hål … ännu. Åtminstone en forskare, har David Ramos rapporteras att “jag har [a] arbetar utnyttja för kommande CVE-2015-0291 1.0.2 server DoS. Såvitt jag vet inte aktiv i naturen.”

Ge det tid. Den kommer att användas mot servrar snart nog.

Flera andra problem har också rättats vilket kan leda till DoS-attacker. Visserligen är det svårt att göra sådana angrepp mot dessa secuirty hål, men so what? Crackers älskar ingenting mer än att arbeta med svåra problem. För att undvika att deras senaste leksak, oavsett vilken version av OpenSSL du använder, patch det nu.

Den andra allvarligt fel “RSA degraderar tyst till EXPORT_RSA [Client] (CVE-2015-0204),” är lika ful och mer smygande. Den här bygger på toppen av FREAK / SMACK OpenSSL säkerhetshål.

FREAK orsakade många webbservrar för att uppmana lägre, crackable, exportkryptografiska koder som dateras tillbaka till 1990-talet. När en FREAK attack fick en sårbar webbserver att handskakning med en brytbar nolla, var det bara en fråga om att knäcka koden och serverns “säkra” kommunikation var öppna för en hacker läsning nöje. Typiskt har sådana attacker gjorda med en man-in-the-middle (MITM) attack.

Men missfoster säkerhetshål var lappat, eller hur? Jo, men det visar sig att, eftersom OpenSSL utvecklare uttryckte det, medan de “ursprungligen tänkt att servern RSA export ciphersuite stöd var sällsynt: En klient var endast utsatta för en MITM attack mot en server som stöder en RSA export ciphersuite. nyligen genomförda studier har visat att RSA export ciphersuites support är mycket vanligare. ”

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, Vita huset utser först Federal Chief Information Security Officer, Pentagon kritiserats för cyber nödsituationer av regeringen vakthund

OpenSSL 1.0.1 användare bör uppgradera till 1.0.1k,. OpenSSL 1.0.0 användare bör uppgradera till 1.0.0p,. OpenSSL 0.9.8 användare bör uppgradera till 0.9.8zd.

Långt, långt vanligare, kan jag tillägga.

Med andra ord, om du använder någon av nedanstående, bör du uppgradera omedelbart.

Bara för att du inte använder OpenSSL inte innebar att den gamla RSA export, som hade gömt sig i vår kod för nästan 15 år fortfarande inte kan få dig. Vissa Android-appar är fortfarande öppna att missfoster attacker. Om du kör Windows Internet Information Server (IIS), måste du genomföra 10 mars Windows patchar. Apple och Cisco användare måste också patch mot FREAK problem.

NCC-koncernen och Linux Foundation Core Infrastructure Initiative (CII) är alla som arbetar med att förbättra OpenSSL säkerhet. Men eftersom detta senaste OpenSSL patch påpekar har FREAK visat sig vara mycket mer än bara en OpenSSL problem. Oavsett vilken webbserver eller operativsystem du använder, måste du göra vissa ditt system är skyddade mot FREAK.

OpenSSL patchar “höga” svårighetsgrad brister i senaste versionen, NCC-koncernen att granska OpenSSL för säkerhetshål, FREAK: En annan dag, en annan allvarlig SSL säkerhetshål, Mission: Finansiering alla dessa små men viktiga open-source projekt, Google avslöjar stor brist i föråldrade , men allmänt används SSL-protokoll

Säkerhet, Så att inte kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”), säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet;? FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska gov’t tjänstemän

Det har inte försvunnit. Det är fortfarande bara gömmer sig i gamla koden.

 Berättelser

Hur man inte att kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”)

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän