آخرین اخبار
1394/5/15 پنجشنبه
معرفی یک آسیب پذیری:
شنود ارتباطات امن در OpenSSL
کارشناسان آسیب‌پذیری جدیدی را در OpenSSL شناسایی کرده‌اند که مهاجمان با سوءاستفاده از  آن می‌توانند ارتباطات امن کاربر را شنود کنند.  
وجود یک آسیب‌پذیری مهم در OpenSSL به مهاجمان امکان می‌دهد تا با استفاده از یک گواهی دیجیتال جعلی، حملاتی از نوع کسی در میانه (MITM) ترتیب دهند و ارتباطات امن کاربران از جمله ایمیل‌های شخصی و تبادلات بانکی را شنود کنند. OpenSSL یکی از محبوب‌ترین پیاده‌سازی‌های کدباز پروتکل‌های SSL و TLS است که در بیش از دو سوم سرورهای وب استفاده می‌شود.
آسیب‌پذیری فوق به فرایند تأیید گواهی در OpenSSL مربوط است و با نام CVE-2015-1793 شناخته می‌شود. گواهی‌ها در SSL به صورت زنجیره‌ای دنبال می‌شوند. اگر دستگاهی که می‌خواهد یک ارتباط امن را برقرار کند به اولین گواهی اطمینان نداشته باشد، در زنجیره گواهی‌ها یک حلقه بالاتر می‌رود تا به یک گواهی مورد اطمینان برسد.
در انتهای زنجیره اگر گواهی معتبری یافت نشود، ارتباط قطع می‌گردد و پیغام خطایی برای کاربر ارسال می‌شود. در OpenSSL اگر گواهی معتبری در زنجیره اول یافت نگردد، زنجیره دیگری جایگزین آن خواهد شد. مهاجمان با سوءاستفاده از این آسیب‌پذیری می‌توانند یک گواهی را برای اعتبار بخشی به زنجیره‌های دیگر نیز استفاده نمایند.
این آسیب‌پذیری در نسخه‌های جدید OpenSSL رفع شده است. از سال گذشته تاکنون، آسیب‌پذیری‌های متعدد دیگری نیز در پروتکل‌های SSL/TLS مورد سوءاستفاده مهاجمان قرار گرفته‌اند.
برخی از این آسیب‌پذیری‌های عبارتند از: آسیب‌پذیری افشای اطلاعات موسوم به هارت‌بلید (Heartbleed) در آوریل 2014، آسیب‌پذیری پودل (POODLE) در اکتبر همان سال، آسیب‌پذیری فریک (FREAK) در مارس 2015 و آسیب‌پذیری لاگ‌جَم (Logjam) در ماه می امسال.  
توصیه به کاربران آسیب‌پذیری فوق در نسخه‌های 1.0.2b ، 1.0.2c 1.0.1n و 1.0.1o وجود دارد به همین جهت به کاربران نسخه‌های 1.0.2 پیشنهاد می‌شود سریعاً نسخه 1.0.2d و کاربران نسخه‌های 1.0.1 نیز  نسخه 1.0.1p را دریافت نمایند. این آسیب‌پذیری در نسخه‌های 1.0.0 و 0.9.8 وجود ندارد.
باید توجه داشت که بسیاری از بسته‌های نرم‌افزاری نیز از OpenSSL استفاده می‌کنند. این نرم‌افزارها باید شناسایی شوند و به محض ارائه نسخه جدید از سوی تولیدکنندگان، به‌روز گردند.

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.