شماره: IRCNE2014062219
تاريخ:24/03/93
تعدادي از وب سايت هاي معروف كه داده ها را با پروتكل SSL رمزگذاري مي كنند هم چنان نسبت به حفره اخير OpenSSL آسيب پذيري مي باشند. اين حفره به مهاجمان اجازه مي دهد تا ارتباطات را پيگيري و رمزگشايي نمايند.
روز پنجم ژوئيه، توسعه دهندگان كتابخانه رمزگذاري OpenSSL به منظور برطرف كردن چندين آسيب پذيري، به روز رساني هاي امنيتي فوري را منتشر كردند كه از جمله اين آسيب پذيري ها، آسيب پذيريCVE-2014-0224 است كه به مهاجمان اجازه مي دهد تا ارتباطات رمزگذاري شده را در موقعيتي خاص شنود نمايند.
پروتكل OpenSSL يكي از محبوب ترين كتابخانه هاي رمزگذاري براي پياده سازي SSL/TLS بر روي سرورهاي وب مي باشد.
به منظور سوء استفاده از آسيب پذيريCVE-2014-0224 براي رمزگشايي و تغيير ترافيك SSL، مهاجم بايد موقعيتي براي حمله"man-in-the-middle" بين كلاينت و سروري كه هر دو از OpenSSL استفاده مي كنند، داشته باشد. از آن گذشته سرور بايد در حال اجراي نسخه 1.0.1 از OpenSSL باشد.
با توجه به يافته هاي محققان حدود 14 درصد از سايت هايي كه توسط پروژه SSL Pulse مانتيور شده اند در حال اجراي نسخه هاي از OpenSSL مي باشند كه به حفرهCVE-2014-0224 آسيب پذير هستند.
پروژه SSL Pulse پياده سازي SSL را بر روي سايت هاي HTTPS مانيتور مي كند. اين سايت ها از بين فهرست 1 ميليون وب سايت پر بيننده كه توسط شركت Alexa تهيه شده، انتخاب شده است.
در اين ميان 36 درصد از وب سايت ها در حال اجراي نسخه 0.9.x و 1.0.0 بودند كه نسبت به اين حفره آسيب پذير مي باشند. اين سرورها بايد به نسخه هاي اصلاح شده به روز رساني شوند زيرا ممكن است هدف حملات مهاجمان قرار بگيرند.
خبر خوب آن است كه بيشتر مرورگر ها از OpenSSL استفاده نمي كنند و اين بدان معناست كه بيشتر كاربران مرورگر تحت تاثير اين آسيب پذيري قرار ندارند. با اين وجود، مرورگرهاي اندوريد از OpenSSL استفاده مي كنند و نسبت به اين حملات آسيب پذيري هستند. علاوه بر اين، بسياري از ابزارهاي خط فرمان و برنامه هاي شبيه سازي از OpenSSL استفاده مي كنند.
- 5