OpenSSL wymaga pilnej aktualizacji

Administratorzy serwerów wykorzystujących OpenSSL powinni jak najszybciej przeprowadzić aktualizację.

W OpenSSL wykryto lukę, która pozwala napastnikowi na zdobycie klucza umożliwiającego odszyfrowanie komunikacji realizowanej za pomocą protokołu HTTPS i innych zaszyfrowanych kanałów komunikacji. Na szczęście luka nosząca oznaczenie CVE-2016-0701, która jest potencjalnie bardzo groźna (status "high"), wymaga spełnienia wielu warunków, aby można z niej było skorzystać. Podstawowy dotyczy samej biblioteki kryptograficznej OpenSSL, która musi być w wersji 1.0.2.

Szybka reakcja

Twórca OpenSSL rozwiązał problem 28 stycznia. Warto podkreślić, że jego reakcja była naprawdę szybka. Informację o podatności, którą wykrył Antonio Sanso z Adobe Systems, otrzymał bowiem 12 stycznia.

Zobacz również:

Logjam

Oprócz wspomnianej wyżej groźnej luki OpenSSL Project zajął się też mniej groźną (status "low") podatnością Logjam w algorytmie Diffie-Hellman, która pozwala atakującemu odczytać i modyfikować wszelkie dane w transmisji i dotyczy oprogramowania OpenSSL w wersjach 1.0.2 i 1.0.1. Zagrożone nią są serwery obsługujące szyfry DHE_EXPORT.

Co należy zrobić?

Osoby korzystające z OpenSSL w wersji 1.0.2 powinny przeprowadzić upgrade do wersji 1.0.2f. W przypadku OpenSSL 1.0.1 należy przejść na wersję 1.0.1r.

Więcej informacji na temat opisanych luk znajdziecie na stronie openssl.org