Kijavított hibák az OpenSSL-ben

A jelentések szerint a sérülékenységek nemcsak azokat a linuxos rendszereket érintik, ahova feltelepítették az OpenSSL-t, hanem olyan routerek és más hálózati eszközök kapcsán is felbukkanhat a hiba, melyek alkalmazzák ezt a szoftvert. A Cisco Systems például tegnap kiadott egy figyelmeztetést, mely szerint PIX tűzfalai és némely routere esetleg érintett lehet az esetben.

Az OpenSSL egyébként a Secure Sockets Layer (SSL) titkosítás nyílt implementációja, melyet majdnem minden webböngésző használ annak érdekében, hogy a nyilvános, Interneten keresztül utazó adatokat biztonságban tudhassák a felhasználók. A benne felfedezett biztonsági rések ugyan nem adják meg a támadónak azt a lehetőséget, hogy átvehesse az adott számítógép vagy eszköz felett az irányítást, de azt elérhetik egy speciális szabályoknak megfelelően megalkotott adattal, hogy a szoftver lefagyjon. Voltaképp egy denial of service típusú támadással például véghezvihető, hogy egy adott szerverre a felhasználók ne tudjanak bejelentkezni, illetve a rendszergazdák is megakadályozhatók a hálózati eszközök felügyeletében. Némely esetben ez egészen odáig fajulhat, hogy a hibák miatt az eszköz kernele összeomlik, ezzel szélesebb körben hálózati kimaradást okozva.

Még tavaly novemberben készítettek egy felmérést, mely úgy találta, hogy azon webszerverek fele, amelyeket megvizsgáltak és amelyek az OpenSSL valamelyik verzióját alkalmazták, nem volt a szükséges patch-ekkel megfelelően ellátva. Éppen ez tette lehetővé tavalyelőtt szeptemberben a linuxos Slapper féreg terjedését, mely egy olyan hibát használt ki, ami a webszerver OpenSSL-re alapuló elemében jelentkezett.

A Red Hat és a SuSE Linux (mint a legnépszerűbb nyíltforrású operációs rendszerek két rangos fejlesztője) egyaránt olyan disztribútorok, melyek linuxai tartalmazzák az OpenSSL-t.