OpenSSL дахь согог

OpenSSL-Heartbleed-vulnerability-CVE-2014-0160

 Довтлогчид олж авсан хувийн түлхүүрүүдийг эмзэг өгөгдлийг тайлахад ашигладаг.

Судлаачид банкны итгэмжлэлүүд, бусад цоорхой өгөгдөл, нууц үгүүдийг нууцаар сонсохоос урьдчилах сэргийлэх ба тооцоолсоноор нь өөрсдийн эцсийн хэрэглэгчдэд таниулахад ашиглах Вэб сервэрүүдийн гуравны хоёрын криптограф програм хангамжийн санд маш чухал гажигийг илрүүлсэн байна. OpenSSL дэх согогын тухай анхааруулагатай давхцаад нээлттэй эх програмын гаргасан 1.0.1g хувилбарыг гарган, тэр нь Apache ба nginx вэб сервэр програмууд мөн түүнчлэн үйлдлийн системүүдийн олон хувилбар, зурвас илгээх хэрэглэгчид болон  е-мэйлд ашиглахад өгөгдсөн криптограф сантай. Тухайн согог нь OpenSSL –ын бүтээгдэхүүний хувилбаруудад хоёроос дээш жил байсан нь эцсийн хэрэглэгчид болон тэдний хооронд дамжих нууцалсан өгөгдөл, интернэт сервэрүүдийн баталгаажуулалтанд ашигладаг тоон сертификатын зүрх нь болсон хувийн нууцлах түлхүүрийг хүмүүсд сэргээх боломжийг олгоно гэсэн үг юм.

Довлогчид сервэрийн бүртгэлд ямар ч ул мөр үлдээхгүйн тул согогыг идэвхтэй ашиглах ирсэн байна уу мэдэх ямар ч арга байхгүй. Харин энэхүү эрсдэл нь цаашид  түлхүүр, нууц үгийг тайлах болон шаардлагатай арга хэмжээнүүдийг авсан байхад ч дахин бий болох боломжтой.

“Ганц програм хангамж буюу сан дахь согогууд шинэ хувилбарт засагдаж ирнэ” гэж цоорхойг тогтоосон эрдэмтэд даваа гаригт хэвлэгдсэн блогт бичжээ. “Урт хугацааны ажиглалт, илрүүлэлтийн дүнд хялбар мэт харагдах, ул мөр үлдээдэггүй халдлага нь илрүүлэхэд улам ноцтой болж байгаа юм”.

Google болон програм хангамжийн аюулгүй байдлын Codenomicon фирмд ажилладаг судлаачид цоорхой вэб сайтууд OpenSSL нөхөлтийг суулгасны дараа ч гэсэн халдлагад өртөмтгий хэвээр байх болно гэж хэлсэн. Энэ эрсдэл нь довтлогчид аль хэдийн цоорхойг ашиглан вэб сайтын хязгаарлагдмал  хэсгүүд рүү баталгаат cookie-нүүд болон ижил итгэмжлэлүүдийг хэрэглэгчид баталгажуулахад ашигладаг эсвэл сайтуудын админд ашигладаг нууц үг тоон сертификатын хувийн түлхүүрийг сэргээж авах боломж үүсгэж байгаа юм. Хоёр жилийн хугацаанд цоорхойг бүрэн сэргээхэд бүх session түлхүүр ба session мэдээлэлүүдийг хүчингүй болгох мөн шинэ түлхүүрүүдийг дахин хэвлэн гаргах, ямар нэгэн ил болсон түлхүүрүүдийг буцаан солих шаардлагатай болно. Tor нууц төслийн гишүүд эндэх согогыг товч тодорхойлон бичсэн ба энэ дүн шинжилгээ нь техникийн нарийн ширийнийг ашигтай байдлаар хангаж өгсөн.

OpenSSL бол интернетийн хамгийн алдартай криптографийн сангийн нээлттэй эх  ба TLS хэрэгсэл юм. Энэ бол вэб сайтуудын 66 хувь нь ажиллахдаа Nefcraft-д тохирсон nginx, Apache-д зориулсан өгөгдсөн шифрлэх хэрэгсэл юм. OpenSSL мөн Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD, OpenBSD, Linux-ийн хувилбар OpenSUSE зэрэгт агуулагддаг програмууд болон үйлдлийн системийн хамгийн олон төрөлд байдаг. Дамжуулах төвшний аюулгүй байдлын /TLS/-ийг зохицуулдаг давтамжийн өргөтгөлд /heartbeat extention/ орхигдсон хилийг шалгах OpenSSL 1.0.1-г 1.0.1f-р өөрчилнө.

Энэ согог нь цоорхой OpenSSL хувилбар клейнт компьютер дээр ажиллаж байхад буюу сервэрийн 64кб санах ойруу довтлоход сэргэх боломжтой гэж албан ёсоор CVE-2014-0160-д тайлбарлагдсан. CloudFlare-ийн сүлжээний инженер Ник Салливан OpenSSL –ийн цоорхой өнгөрсөн долоо хоногт сүлжээгээр хүргэгдэн нөхөгдсөн гэж хэлээд, түүний компаний хувийн түлхүүрүүд нь санах ойд байгаа мэт харагдахыг хянаад, илрүүлэлтээс өмнөх цоорхойг ашиглан довтлогчид яаж сэргээхээ мэднэ гэжээ.

Хянасаны үр дүнг үндэслэн компани нь үндсэн TLS гэрчилгээгээ солих, эсвэл бусад арга хэмжээг авах болно гэж тэр хэлэв.

Гаднаас довтлох

Цоорхойг олж илрүүлсэн судлаачид эрсдлийн талаар өөдрөг үзэлгүй байна гээд согог нь OpenSSL-тэй програм хангамж ажиллаж байгаа сервэрүүд буюу компьютерүүдийн санах ой дээр байнга байдаг эмзэг өгөгдлийг буцаан авах ба хийсвэрээр бүх TLS хамгаалалтуудаар довтлогчид нууцаар өнгөрөх боломжтойгоор болгосон. “Ямар нэгэн ул мөр үлдээлгүй гаднаас бидэн лүү хандсан гэж тэд бичсэн”.

“Ямар нэгэн давуу эрхтэй мэдээлэл буюу  итгэмжлэл ашиглалгүйгээр манай X.509 гэрчилгээнд ашигладаг нууц түлхүүрүүд, хэрэглэгчийн нэрүүд, нууц үгүүд, яаралтай мэдээнүүд, е-мэйлүүд, бизнесийн чухал бичиг баримтууд болон захидал харилцааг өөрсдөөсөө бид хулгайлж чадна”.

Тэд хэрэв согог хяналтгүйгээр идэвхтэй ашиглагдаж байгаа эсэхийг харахыг оролдсон довтлогчийг залилахад зохион бүтээсэн  цоорхой TLS сервэрүүдийн “зөгийн балтай сав” буюу “honeypots” гэж нэрлэдэг зүйлийг цагаан малгайт хакерууд тохируулна. Судлаачид цоорхой Heartbleed–г өгөөш болгосон, яагаад гэвэл IETF –ийн RFC6520-д тайлбарласанаар TLS давтамжийн өргөтгөл хэрэгсэл OpenSSL-д согог суух үндсэн суурь болж байгаа.

OepnSSL цоорхой нь тэр өгөгдсөн HTTPS схемийг сүүлд олж мэдсэн ба  итгэмжит вэб сайтуудыг хэрэгжүүлэх буюу эцсийн хэрэглэгч дээр нууцаар сонсохыг хакерууд зөвшөөрөх тэр халдлагаас бусад Интернэт холболтууд, е-мэйл, вэб сайтуудыг криптографийн аргаар хамгаална. Өнгөрсөн сардGnuTLS санг хөгжүүлэгчид хэдэн зуун нээлттэй эхтэй програмуудтай ижил төстэй халдлагад  бэлэн байгаа аюултай согогтой адилханыг олж илрүүлсэн байна. Мөн хоёрдугаар сард Аpple HTTPS хамгаалалтыг хакерууд нэвтрэх боломжтой хийгдсэн iOS  ба OS X үйлдлийн систем дээрх маш ноцтой цоорхойг зассан.

Аpple виртуал мөнгөнөөр худалдаа хийхийг хориглов

Аpple виртуал мөнгөнөөр худалдаа хийхийг хориглов

  Энэ сард Youtube дээр тавигдсан iPhone-ийн онлайн худалдаанд ашиглагдах криптомөнгийг хэрхэн…

Google-ээс нуугдах 5 арга

Google-ээс нуугдах 5 арга

Google-ээс нуугдах 5 арга Энэ сараас эхлэн Хэрэглэгчийн Хувийн Нууцлалын Бодлогод өөрчлөлт…

Нууцлал нь эвдэгдэж 750 сая СИМ карт аюулд оржээ

Нууцлал нь эвдэгдэж 750 сая СИМ карт аюулд оржээ

Германы цахим орчны аюулгүй байдлын мэргэжилтэн Карстен Нол “DES” нууцлалын алгоритмд түргэн…

САНАЛ АСУУЛГА

Таны бодлоор ямар төрлийн криптографи крипто-тэсвэр сайтай байдаг вэ?

Үр дүн харах

Loading ... Loading ...

СҮҮЛД НЭМЭГДСЭН

Зочин

  • 96Энэ нийтлэлд :
  • 99679Нийт зочилсон:
  • 30Өнөөдөр:
  • 1Одоо байгаа: