? En annan dag, en annan OpenSSL patch

Den senaste OpenSSL säkerhetshål är inte dåligt eftersom dessa saker går. Det är ingen heartbleed, Freak, eller dödläget. Men det är tillräckligt allvarliga för att om du kör alfa- eller beta operativsystem, bör du inte fördröja lapp det.

Lyckligtvis är de drabbade OpenSSL versionerna inte vanligen används i företagets operativsystem. Till exempel är det inte påverka sjöfarten och versioner av Red Hat Enterprise Linux (RHEL) eller Ubuntu. När det gäller Ubuntu gör det påverka 15,10 utvecklingsversionen, men plåstret redan finns.

I detta OpenSSL bugg, när OpenSSL (med start från version 1.0.1n och 1.0.2b) börjar kontrollera ett certifikat, om dess första försök att bygga en säker certifikatkedja misslyckas, kommer den att försöka hitta en alternativ certifikatkedjan. Än så länge är allt bra.

Men, ett fel i hur denna logik redskap hoppade vissa säkerhetskontroller på nya otillförlitliga certifikat. Till exempel, gjorde det inte kontrollera Certificate Authority (CA) flagga. Detta gör det möjligt för en hackare att använda ett giltigt blad certifikat för att fungera som en CA och “fråga” ett falskt intyg. Detta i sin tur gör det möjligt för sådana hack som en skadad webbplats att kunna låtsas att det är en annan, legitim webbplats.

Hackare kan göra detta eftersom felet underlättar man-in-the-middle-attacker.

Detta problem påverkar OpenSSL versioner 1.0.2c, 1.0.2b, 1.0.1n och 1.0.1o. Därför bör OpenSSL 1.0.2b / 1.0.2c användare att uppgradera till 1.0.2d och OpenSSL 1.0.1n / 1.0.1o användare bör uppgradera till 1.0.1p.

Säkerhetshålet, (CVE-2015-1793), upptäcktes av Google BoringSSL utvecklare. Det här är Googles egen öppen källkod Secure-Socket Layer (SSL) program. Det är inte tänkt att ersätta OpenSSL som ett projekt med öppen källkod eftersom dess Application Programming Interface (API) och Application Binary Interface (ABI) är inte stabil nog för en allmänt använd säkerhetsprogram.

 Berättelser

Hur en av de största uppgifter stölder i USA: s historia kunde ha stoppats av grundtrygghet, Din tandläkare använder troligen fruktansvärt osäker patienten programvara, två tredjedelar av företagen betalar Ransomware krav: Men inte alla får sina data tillbaka, detta otäcka Android malware försök att trakassera sin väg förbi Marshmallow säkerhetsfunktioner

Krom att börja märkning HTTP-anslutningar som osäkra

Den Hyperledger Project växer som gangbusters

Nu kan du köpa ett USB-minne som förstör allt i sin väg

Kostnaden för Ransomware attacker: $ 1 miljard år

CII vidtar åtgärder för att göra öppen källkod säkrare, logjam OpenSSL säkerhetshål lappade, Du måste tillämpa OpenSSL plåster dag, inte i morgon

Säkerhet, Chrome att starta märkning HTTP-anslutningar som osäkra, säkerhet, The Hyperledger Project växer som gangbusters, säkerhet, Nu kan du köpa ett USB-minne som förstör allt i sin väg, säkerhet, Kostnaden för Ransomware attacker: $ 1 miljard år