Un patch al OpenSSL creează o nouă vulnerabilitate

OpenSSL a emis o actualizare de securitate de urgență pe 26 septembrie deoarece un patch emis înainte a creat o vulnerabilitate critică în librăria de criptare.

Conform techtarget.com, OpenSSL  este o librărie de criptare care oferă o implementare open source pentru protocoalele Secure Sockets Layer (SSL) and Transport Layer Security (TLS). Librăria conține unelte pentru generarea de chei provate RSA și pentru Semnarea de Cereri de Cerificare și altele.

OpenSSL a rezolvat 14 defecte de securitate ale diferitelor versiuni de software. Una dintre vulnerabilități avea un risc scăzut și era legată de alocarea memoriei în tls_get_message_header, scrie onthewire.io.

Actualizarea de securitate a fost anunțată ca o abordare a problemelor cauzate de patch-urile lansate pe 22 septembrie 2016, acestea fiind de o gravitate critică, necesitând o abordare rapidă și neîntârziată de remediere. Problema de securitate vizată odată cu lansarea patch-ului cu 14 abordări, a permis un atac la nivelul denial-of- service prin epuizarea memoriei, în timp ce noua problemă apărută după patch ar putea permite unui atacator sa execute cod arbitrar pe un sistem victimă, scrie clubitc.ro.

Noua vulnerabilitate critică a OpenSSL deschisă de patch-uri se realizează în cazul în care un mesaj mai mare decât aproximativ 16 KB este primit, apoi tamponul de bază pentru stocarea mesajului primit este realocat si mutat. Un punct nesigur rămâne în vechea locație, rezultând cel mai adesea o cădere a sistemului, dar având și posibilitatea de execuție a unui cod arbitrar.