Alertă cu privire la vulnerabilitatea ”Heartbleed” ce afectează implementările protocoalelor SSL/TLS

Articol postat de:

heartbleed

Biblioteca software OpenSSL, începând cu versiunea 1.0.1 până la 1.0.1f, conţine o vulnerabilitate de securitate ce facilitează accesarea neautorizată a unor informaţii confidenţiale care, în mod normal, sunt protejate prin criptarea cu protocoalele SSL/TLS.

Problema principală este reprezentată de faptul că librăria OpenSSL este folosită la scară largă în cadrul tehnologiilor web pentru securizarea comunicării și asigurarea confidențialității pe internet pentru aplicații web, servicii de mesagerie electronică, servicii mesagerie instant (IM) și pentru unele rețele virtuale private (VPN).

Descriere

Această vulnerabilitate îi permite unui atacator să acceseze memoria privată a unei aplicaţii ce utilizează o librărie OpenSSL vulnerabilă, în porţiuni de maxim 64k la un moment dat. Astfel, un atacator poate lansa atacul în mod repetat pentru a spori şansele ca, la un moment dat, printre porţiunile de memorie capturare, să se regăsească şi informaţii confidenţiale.

Conform standardului pentru denumirea vulnerabilităţilor de securitate informatică CVE (Common Vulnerabilities and Exposures), denumirea acestei vulnerabilităţi este CVE-2014-0160.

Impact                                                                   

Printre informaţiile confidenţiale care pot fi accesate de un atacator, utilizând această vulnerabilitate, se regăsesc:

  • chei secrete;
  • nume de utilizator şi parole utilizate de serviciile vulnerabile;
  • conţinut protejat (date sensibile procesate cu ajutorul serviciilor vulnerabile);
  • informaţii colaterale care pot fi obţinute pentru ocolirea încercărilor de atenuare a exploatării (ex. adrese de memorie).

Folosind aceste informaţii, un atacator poate fi în măsură de a decripta, sau de a lansa atacuri de tip man-in-the-middle, asupra traficului de, care în mod normal ar fi protejate de OpenSSL.

 Sisteme afectate

Mai jos sunt enumerate câteva din distribuţiile de sisteme de operare care au fost livrate cu versiuni OpenSSL potenţial vulnerabile:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
  • Distribuţii de sisteme de operare ce conţin versiuni OpenSSL fără vulnerabilităţi:
  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Soluție

Pentru siguranţa datelor şi serviciilor protejate cu ajutorul protocoalelor SSL/TLS din cadrul librăriei OpenSSL se recomandă actualizarea la versiunea 1.0.1g, sau o versiune ulterioară. Noile versiuni OpenSSL sunt disponibile pe site-ul www.openssl.org.

De asemenea, se recomandă ca după actualizarea OpenSSL la una dintre versiunile specificate, sistemele în cauză să regenereze orice tip de informaţii sensibile (cheile private, parole, etc.) presupunând că acestea au fost deja compromise de către posibilii atacatori.

Dacă acest lucru nu este posibil, administratorii de sisteme pot recompila OpenSSL cu flag-ul –DOPENSSL_NO_HEARTBEATS setat. Pentru efectuarea modificărilor se recomandă restartarea sistemelor.

Pentru minimizarea daunelor ce pot apărea în urma exploatării unei astfel de vulnerabilităţi, se recomandă utilizarea protocolului Perfect Forward Secrecy (PFS) prin care se poate îngreuna procesul de decriptare a traficului deja capturat.

Sursa foto: www.techradar.com
Sursa articolului: CERT-RO


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>