今日のハッカーは賢くなっています。 あなたは彼らにわずかな抜け穴を与えます、そして、彼らはあなたのコードを解読するためにそれを完全に利用します。 この頃、ハッカーの怒りは、インターネットサービスプロバイダによって最も一般的に使用されているオープンソースの暗号化ライブラリであるOpenSSLに遭遇しました。
本日、OpenSSLは6つの脆弱性に対する一連のパッチをリリースしました。 CVE-2016-2107とCVE-2016-2108を含む、これらの脆弱性のうち2つは非常に深刻と考えられています。
CVE-2016-2017の深刻な脆弱性により、ハッカーはPadding Oracle Attackを開始することができます。 Padding Oracle Attackは、AES-NIをサポートするサーバーと、AES-CBC暗号を使用するインターネット接続用のHTTPSトラフィックを復号化できます。
Padding Oracle Attackは、暗号化されたペイロードコンテンツについて、ハッカーがプレーンテキストコンテンツを繰り返し要求することを許可することで、暗号化保護を弱めます。 この脆弱性はJuraj Somorovskyによって最初に発見されました。
Juraj氏はブログ記事に次のように書いています。 たとえば、CBCパディングコードの一部を書き換えた後、TLSサーバは無効なパディングメッセージを使用して正しい動作をテストする必要があります。 TLS-Attackerが一度このようなタスクに使用できることを願っています。 」
OpenSSLライブラリを襲った2番目に深刻度の高い脆弱性はCVE 2016-2018です。 これは、データのエンコード、デコード、転送に使用されるOpenSSL ASN.1規格のメモリに影響を与えて破損させる大きな欠陥です。 この脆弱性により、オンラインハッカーは悪意のあるコンテンツを実行してWebサーバーに拡散させることができます。
CVE 2016-2018の脆弱性は2015年6月に修正されましたが、セキュリティ更新の影響は11か月後に明らかになりました。 この特定の脆弱性は、認証局によって正式に署名された、カスタマイズされた偽のSSL証明書を使用することによって悪用される可能性があります。
OpenSSLは同時に4つの他のマイナーオーバーフロー脆弱性のためのセキュリティパッチをリリースしました。 これらには、2つのオーバーフローの脆弱性、1つのメモリ枯渇の問題、および1つの低重大度のバグが含まれ、その結果、任意のスタックデータがバッファに返されます。
セキュリティアップデートはOpenSSlバージョン1.0.1およびOpenSSlバージョン1.0.2用にリリースされました。 OpenSSL暗号化ライブラリへのさらなる損害を避けるために、管理者はできるだけ早くパッチを更新することをお勧めします。
このニュースはもともとThe Hacker Newsに掲載されました
