Tietoturva

OpenSSL:n salausprotokolla haavoittui

Julkaistu:

Laajasti käytetystä avoimen lähdekoodin OpenSSL-salauskirjastosta on löydetty hyvin kriittiseksi luokiteltu haavoittuvuus, joka koskee kirjaston dtls-toteutusta.


Andy Polyakov on löytänyt OpenSSL-kirjastosta tietoturvahaavoittuvuuden, joka liittyy kirjaston dtls (datagram transport layer security) -salauksen toteutukseen.

Haavoittuvuus on hyödynnettävissä palvelunestohyökkäyksissä ja haittakoodin suorittamisessa kohdekoneella.

Dtls on udp-protokollalle tarkoitettu versio laajasti käytössä olevasta tls-salausprotokollasta, jota hyödynnetään muun muassa web-selaimissa, sähköpostipalveluissa ja pikaviestimissä. Udp-versio puolestaan on oleellinen esimerkiksi turvallisten voip-yhteyksien toteuttamisessa.

Haavoittuvuus löytyy kirjaston 0.9.8f-versiota vanhemmista. Kirjaston kehittäjät huomauttavat, että 0.9.8d- ja 0.9.71-versioita edeltävät versiot sisältävät vielä pahemman variaation samasta ongelmasta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Kehittäjät suosittelevat dtls:n käyttäjiä päivittämään kirjaston 0.9.8f-versioon. Muita haavoittuvuuden ei pitäisi häiritä.

Haavoittuvuus on paikattu tähän mennessä ainakin Red Hatin Enterprise Linux 5 -jakelussa. Kirjaston kehittäjät ilmoittivat haavoittuvuudesta jo viime viikon perjantaina.


Kommentit

    Näytä lisää