Naciśnij ESC aby zamknąć

Krytyczna luka w OpenSSL

W znanym i bardzo istotnym pakiecie zapewniającym szyfrowanie połączeń w sieci doszukano się poważnego buga. Narażone na kompromitację są klucze wygenerowane za pomocą bibliotek OpenSSL w dystrybucjach Debiana i pochodnych, np: Ubuntu czy Knoppix. Problem dotyczy również aplikacji ściśle związanych z tym pakietem: openvpn, ssh oraz kluczy używanych przez najważniejszy serwer WWW – Apache.

Bug powstał niejako przez przypadek i występuje w bibliotece od maja 2006 roku. Wtedy właśnie, opiekunowie pakietu przeanalizowali oficjalny kod wersji produkcyjnej. Okazało się, że analizator kodu, którym się posłużono – Valgrind – wykrył lukę w funkcji ssleay_rand_bytes, która używała niezainicjalizowanych danych z bufora do generowania innych danych, które powinny być losowe. Jako, że taka ‘losowość’ jest nie wystarczająca autor postanowił pominąć tę funkcję przez zakomentowanie niektórych fragmentów kodu. Być może z rozpędu (sic!) zakomentowano również pewne fragmenty innej funkcji (ssleay_rand_add), która jest kluczowym mechanizmem entropii w OpenSSL.

Te zabiegi doprowadziły do tego, że dziś mamy poważny problem, którego bezwzględnie nie należy bagatelizować ponieważ na kompromitację mogą zostać narażone serwery, na których generowano klucze za pomocą wadliwych bibliotek.

Zaleca się przede wszystkim nałożenie patch’y oraz w niektórych wypadkach również ponowne generowanie kluczy.
Wszystkie niezbędne linki poniżej.

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.