به گزارش گروه اجتماعی مشرق، پس از اعلام آسيب پذيري فراگیر تاریخ اینترنت که در 20 فروردين ماه امسال اعلام جهاني شد كه به "خونریزی قلبی" شهرت یافت و منجر به افشای اطلاعات مهمی از سایت های سرتاسر جهان شد اين بار آسیب پذیری دیگری مربوط به OpenSSl كشف شده كه به مهاجم اجازه می دهد ترافیك رمز شده SSl/TLS میان كلاینت و سرور را تغییر دهد و یا رمزگشایی كند.
مركز ماهر اعلام كرد: در اين رخنه اينترنتي، به منظور اجرای حمله موفق، در صورتیكه كلاینت و سرور آسیب پذیر به این نوع از نقطه ضعف باشند، مهاجم نیازمند شنود ارتباط میان كلاینت هدف و سرور (MITM) است. این آسیب پذیری با كد CVE-2014-0224 در نسخه های Openssl1.0.1 و جدیدتر و 1.0.2-beta1 شناخته شده است.
به دلیل ضعف در الگوریتم رمزنگاری Openssl و با سوء استفاده از آسیب پذیری شناسایی شده در ارتباط handshake میان كلاینت و سرور و الزام آنها به استفاده از كلید رمز قابل حدس (CWE-325)، می توان حمله توقف در سرویس دهی را به دلیل امكان ارسال متناوب پیام های CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا كرد.
براين اساس نسخه های آسیب پذیر از سوي مركز ماهر اعلام شده است كه شامل تمامی كلاینت هایی كه از تمامی نسخه های OpenSSl استفاده می كنند مي شود. همچنين آسیب پذیری مذكور در نسخه های 1.0.1 و یا جدیدتر و 1.0.2-beta1 شناسایی شده است؛ در همين حال مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه ای از مرورگرها مانند Chrome بر روی Android كه از OpenSSL استفاده می كنند آسیب پذیر هستند.
به كاربران اينترنت توصيه شده است كه براي رفع آسیب پذیری، بايد از به روز رسانی های ارائه شده بر روی وب سایت Openssl و ارتقا به نسخه های 0.9.8za ، 1.0.0m و 1.0.1h استفاده كنند.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.irارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
مركز ماهر اعلام كرد: در اين رخنه اينترنتي، به منظور اجرای حمله موفق، در صورتیكه كلاینت و سرور آسیب پذیر به این نوع از نقطه ضعف باشند، مهاجم نیازمند شنود ارتباط میان كلاینت هدف و سرور (MITM) است. این آسیب پذیری با كد CVE-2014-0224 در نسخه های Openssl1.0.1 و جدیدتر و 1.0.2-beta1 شناخته شده است.
به دلیل ضعف در الگوریتم رمزنگاری Openssl و با سوء استفاده از آسیب پذیری شناسایی شده در ارتباط handshake میان كلاینت و سرور و الزام آنها به استفاده از كلید رمز قابل حدس (CWE-325)، می توان حمله توقف در سرویس دهی را به دلیل امكان ارسال متناوب پیام های CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا كرد.
براين اساس نسخه های آسیب پذیر از سوي مركز ماهر اعلام شده است كه شامل تمامی كلاینت هایی كه از تمامی نسخه های OpenSSl استفاده می كنند مي شود. همچنين آسیب پذیری مذكور در نسخه های 1.0.1 و یا جدیدتر و 1.0.2-beta1 شناسایی شده است؛ در همين حال مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه ای از مرورگرها مانند Chrome بر روی Android كه از OpenSSL استفاده می كنند آسیب پذیر هستند.
به كاربران اينترنت توصيه شده است كه براي رفع آسیب پذیری، بايد از به روز رسانی های ارائه شده بر روی وب سایت Openssl و ارتقا به نسخه های 0.9.8za ، 1.0.0m و 1.0.1h استفاده كنند.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.irارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.