Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Kolejna dziura w OpenSSL

Recommended Posts

Japoński programista Masashi Kikuchi odkrył dziurę w OpenSSL. To kolejny – po słynnym Heartbleed – poważny błąd w tym protokole.

 

Luka oznaczona jako CVE-2014-0224 występuje w ChangeCiherSpecs i pozwala napastnikowi na przeprowadzenie ataku typu „man-in-the-middle”. Kikuch poinformował, że dziura pozwala „złośliwym węzłom pośrednim na przechwycenie i odszyfrowanie danych zabezpieczonych za pomocą SSL oraz wymuszenie na klientach, by wykorzystywali słabe klucze SSL”.

 

Dziura jest zatem poważna, chociaż nie ma tak wielkiego zasięgu jak Heartbleed. Przeglądarki, które nie wykorzystują OpenSSL są bezpieczne. Jednak wszyscy użytkownicy OpenSSL powinni zastosować łaty.

 

Warto zauważyć, że o ile błąd Heartbleed pojawił się w kodzie OpenSSL przed dwoma laty, to CVE-2014-0224 występuje w nim od 16 lat.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...