شماره: IRCNE2014082285
تاريخ: 93/05/18
OpenSSl كتابخانه رمزنگاري متن با كه نرم افزار پايه بسياري از سايت هاي اينترنتي مي باشد، به تازگي براي نه آسيب پذيري موجود در source code خود وصله هاي امنيتي منتشر نموده است.
برخي از اين آسيب پذيري ها جهت انجام حمله منع سرويس(DoS) در برابر پروتكل امنيت لايه انتقال ديتاگرام(DTLS) استفاده مي شوند.
سوء استفاده از يكي از اين آسيب پذيري ها به مهاجم اين امكان را ميدهد تا از طريق حمله man-in-the-middle و ارسال پيغام "ClientHello" به سرور، سبب گردد تا سرور OpenSSL به جاي نسخه جديدتر و امن ترTLS ، سطح پايين تري از امنيت را به كار گيرد. اين موضوع موجب مي شود تا OpenSSL به نسخه 1.0 تنزل پيدا كند.
توصيه مي گردد تا كاربران OpenSSL نرم افزارهاي خود را در كوتاهترين زمان ممكن به روز رساني نمايند.
كاربران OpenSSL نسخه 0.9.8 بايد نرم افزار خود را به نسخه zb0.9.8 ، نسخه 1.0.0 بايد به n1.0.0 و نسخه 1.0.1 به i1.0.1 ارتقاء دهند.
ليست آسيب پذيري هايي كه وصله هاي امنيتي آنها توسط Emilia Kasper و Stephen Henson (تيم توسعهOpenSSL ) منتشر شده عبارتند از: CVE-2014-3508، CVE-2014-5139، CVE-2014-3509، CVE-2014-3505، CVE-2014-3506، CVE-2014-3507، CVE-2014-3510، CVE-2014-3511 و CVE-2014-3512.
- 5