Die heutigen Hacker sind schlau geworden. Sie geben ihnen eine kleine Lücke und sie nutzen sie voll aus, um Ihren Code zu knacken. Dieses Mal ist der Zorn der Hacker auf OpenSSL gefallen, eine Open-Source-Verschlüsselungsbibliothek, die am häufigsten von Internetdienstanbietern verwendet wird.
Heute hat OpenSSL eine Reihe von Patches für sechs Sicherheitslücken veröffentlicht. Zwei dieser Sicherheitsanfälligkeiten gelten als äußerst schwerwiegend, darunter CVE-2016-2107 und CVE-2016-2108.
Die CVE-2016-2017, eine schwerwiegende Sicherheitslücke, ermöglicht es einem Hacker, einen Padding Oracle-Angriff zu starten. Der Padding Oracle Attack kann den HTTPS-Verkehr für eine Internetverbindung mit AES-CBC-Verschlüsselung auf einem Server entschlüsseln, der AES-NI unterstützt.
Der Padding Oracle Attack schwächt den Verschlüsselungsschutz, indem er Hackern die wiederholte Anforderung von Nur-Text-Inhalten über verschlüsselte Nutzdateninhalte ermöglicht. Diese besondere Schwachstelle wurde erstmals von Juraj Somorovsky entdeckt.
Juraj schrieb in einem Blogbeitrag: „ Was wir aus diesen Fehlern gelernt haben, ist, dass das Patchen von Kryptobibliotheken eine wichtige Aufgabe ist und sowohl mit positiven als auch mit negativen Tests überprüft werden sollte. Nach dem Umschreiben von Teilen des CBC-Padding-Codes muss der TLS-Server beispielsweise auf korrektes Verhalten mit ungültigen Padding-Nachrichten getestet werden. Ich hoffe, TLS-Attacker kann einmal für eine solche Aufgabe verwendet werden. "
Die zweite Sicherheitsanfälligkeit mit hohem Schweregrad, die die OpenSSL-Bibliothek getroffen hat, heißt CVE 2016-2018. Dies ist ein schwerwiegender Fehler, der den Speicher des OpenSSL ASN.1-Standards beeinträchtigt und beschädigt, der zum Codieren, Decodieren und Übertragen von Daten verwendet wird. Diese besondere Sicherheitsanfälligkeit ermöglicht es Online-Hackern, schädliche Inhalte auszuführen und über den Webserver zu verbreiten.
Die Sicherheitsanfälligkeit CVE 2016-2018 wurde zwar bereits im Juni 2015 behoben, die Auswirkungen des Sicherheitsupdates sind jedoch nach 11 Monaten sichtbar geworden. Diese besondere Sicherheitsanfälligkeit kann ausgenutzt werden, indem angepasste und gefälschte SSL-Zertifikate verwendet werden, die ordnungsgemäß von Zertifizierungsstellen signiert wurden.
OpenSSL hat außerdem gleichzeitig Sicherheitspatches für vier weitere kleinere Überlauf-Schwachstellen veröffentlicht. Dazu gehören zwei Überlauf-Schwachstellen, ein Speicherproblem und ein Fehler mit niedrigem Schweregrad, der dazu führte, dass beliebige Stapeldaten im Puffer zurückgegeben wurden.
Die Sicherheitsupdates wurden für OpenSSl Version 1.0.1 und OpenSSl Version 1.0.2 veröffentlicht. Um weitere Schäden an OpenSSL-Verschlüsselungsbibliotheken zu vermeiden, wird Administratoren empfohlen, die Patches so bald wie möglich zu aktualisieren.
Diese Nachricht wurde ursprünglich auf The Hacker News veröffentlicht
