به روز رسانی های OpenSSL برای آسیب پذیری SSLv3
پروژه ی OpenSSL با ارائه ی آخرین نسخه ی این نرم افزار رمزنگاری چندین شکاف امنیتی این محصول از جمله خطای امنیتی که منجر به راه اندازی حملات Poodle روی پروتکل SSLv3 می شود را رفع کرده است.
به گزارش پايگاه اخبار امنيتي فن آوري اطلاعات و ارتباطات، هفته ی گذشته محققان گوگل حمله ی Poodle که در آن مهاجم با استفاده از SSLv3 می تواند در نهایت به ترافیک رمز نشده ی یک کاربر دسترسی پیدا می کند را معرفی کردند، به منظور رفع این آسیب پذیری چند محقق سازوکاری به عنوان TLS_FALLBACK_SCSV را منتشر کردند که مانع از کاهش نسخه ی پروتکل رمزنگاری TLS به SSL نسخه ی ۳ می شود.
OpenSSL در نسخه ی جدیدی که معرفی کرده است از این سازوکار استفاده می کند و به همین دلیل در مقابل حملات Poodle مصون خواهد بود.
برخی نرم افزار های سمت سرویس گیرنده مانند مرورگر ها، در صورت شکست برقراری ارتباط رمزشده مبتنی بر TLS، از کارگزار درخواست می کنند از پروتکل SSLv3 برای برقراری ارتباط رمزشده استفاده کند.
مهاجم می تواند زمانی که هم کارگزار و هم سرویس گیرنده از نسخه ی بالاتری از پروتکل رمز نگاری استفاده می کنند سوء استفاده کند و ارتباط را با استفاده از SSLv3 ایجاد کند.
در نهایت از یکی از چندین آسیب پذیری این پروتکل استفاده کند با شناسه ی CVE-2014-3566 معرفی شده است و حملات Poodle را ترتیب دهد.
نسخه ی جدید OpenSSL هم چنین یک آسیب پذیری مهم دیگر مربوط به DTLS SRTP که منجر به افشای اطلاعات حافظه می شد را وصله کرده است.
با وجود این آسیب پذیری در صورتی که مهاجم یک پیغام مخرب را در شروع ارتباط (دست دهی) ارسال کند، منجر می شود تا OpenSSL نتواند ۶۴ کیلوبایت از حافظه را خالی کند که در نهایت مهاحم می تواند از همین ضعف استفاده کند و منجر به انسداد سرویس شود. هم چنین آسیب پذیری نه چندان مهم دیگری با نام no-ssl3 که باعث می شود در صورت عدم وجود SSLv3 باز هم کارگزار اصرار به استفاده از SSLv3 داشته باشد در این نسخه وصله شده است.