आज के हैकर्स स्मार्ट हो गए हैं। आप उन्हें एक मामूली खामी देते हैं और वे आपके कोड को क्रैक करने के लिए इसका पूरा फायदा उठाते हैं। इस बार, हैकर्स का प्रकोप ओपनएसएसएल पर खुला है, जो एक खुला स्रोत क्रिप्टोग्राफिक लाइब्रेरी है, जिसका उपयोग आमतौर पर इंटरनेट सेवा प्रदाताओं द्वारा किया जाता है।
आज, ओपनएसएसएल ने छह कमजोरियों के लिए एक श्रृंखला पैच जारी किया है। इन भेद्यताओं में से दो को अत्यधिक गंभीर माना जाता है, जिनमें CVE-2016-2107 और CVE-2016-2108 शामिल हैं।
CVE-2016-2017, एक गंभीर भेद्यता एक हैकर को पेडिंग ओरेकल अटैक शुरू करने की अनुमति देता है। पेडिंग ऑरेकल अटैक एईटी-एनबीसी का समर्थन करने वाले सर्वर के साथ एईएस-सीबीसी सिफर का उपयोग करने वाले इंटरनेट कनेक्शन के लिए एचटीटीपीएस ट्रैफ़िक को डिक्रिप्ट कर सकता है।
पेडिंग ओरेकल अटैक हैकर्स को एन्क्रिप्टेड पेलोड कंटेंट के बारे में सादे पाठ सामग्री के लिए बार-बार अनुरोध भेजने की अनुमति देकर एन्क्रिप्शन सुरक्षा को कमजोर करता है। इस विशेष भेद्यता की खोज सबसे पहले जुराज सोमरोवस्की ने की थी।
जुराज ने एक ब्लॉग पोस्ट में लिखा, “ हमने इन बगों से जो सीखा है, वह यह है कि क्रिप्टो लाइब्रेरीज़ को पैच करना एक महत्वपूर्ण काम है और इसे सकारात्मक के साथ-साथ नकारात्मक परीक्षणों के साथ मान्य किया जाना चाहिए। उदाहरण के लिए, सीबीसी पैडिंग कोड के कुछ हिस्सों को फिर से लिखने के बाद, अमान्य पेडिंग संदेशों के साथ सही व्यवहार के लिए टीएलएस सर्वर का परीक्षण किया जाना चाहिए। मुझे उम्मीद है कि टीएलएस-हमलावर को एक बार इस तरह के कार्य के लिए इस्तेमाल किया जा सकता है। "
दूसरी उच्च गंभीरता भेद्यता जो ओपनएसएसएल पुस्तकालय से टकराई थी, उसे CVE 2016-2018 कहा जाता है। यह एक प्रमुख दोष है जो OpenSSL ASN.1 मानक की मेमोरी को प्रभावित और दूषित करता है जिसका उपयोग डेटा को एन्कोडिंग, डिकोड करने और स्थानांतरित करने के लिए किया जाता है। यह विशेष रूप से भेद्यता ऑनलाइन हैकर्स को वेब सर्वर पर दुर्भावनापूर्ण सामग्री को निष्पादित करने और फैलाने की अनुमति देता है।
हालाँकि जून 2015 में भेद्यता CVE 2016-2018 को वापस तय किया गया था, लेकिन सुरक्षा अद्यतन का प्रभाव 11 महीने बाद सामने आया है। प्रमाणीकरण अधिकारियों द्वारा विधिवत हस्ताक्षरित, अनुकूलित और नकली एसएसएल प्रमाणपत्रों का उपयोग करके इस विशेष भेद्यता का फायदा उठाया जा सकता है।
ओपनएसएसएल ने एक ही समय में चार अन्य मामूली अतिप्रवाह कमजोरियों के लिए सुरक्षा पैच भी जारी किए हैं। इनमें दो अतिप्रवाह भेद्यताएं, एक मेमोरी थकावट मुद्दा और एक कम गंभीरता बग शामिल है जिसके परिणामस्वरूप मनमाने ढंग से स्टैक डेटा बफर में वापस आ रहा है।
सुरक्षा अद्यतन OpenSSl संस्करण 1.0.1 और OpenSSl संस्करण 1.0.2 के लिए जारी किए गए हैं। OpenSSL एन्क्रिप्शन लाइब्रेरी के आगे किसी भी नुकसान से बचने के लिए, प्रशासकों को जल्द से जल्द पैच अपडेट करने की सलाह दी जाती है।
यह खबर मूल रूप से द हैकर न्यूज पर प्रकाशित हुई थी
