Ein weiterer Tag, ein weiterer OpenSSL-Patch

Die neueste OpenSSL Sicherheit Loch ist nicht schlecht, wie diese Dinge gehen. Es ist kein Heartbleed, Freak oder Logjam. Aber es ist ernst genug, dass, wenn Sie mit Alpha-oder Beta-Betriebssysteme, sollten Sie nicht verzögern Patching es.

Glücklicherweise werden die betroffenen OpenSSL-Versionen nicht häufig in Enterprise-Betriebssystemen verwendet. Zum Beispiel, es hat keinen Einfluss auf Versand-und unterstützte Versionen von Red Hat Enterprise Linux (RHEL) oder Ubuntu. Im Falle von Ubuntu, es wirkt sich auf die 15.10 Entwicklung Release, aber das Patch ist bereits vorhanden.

Wenn OpenSSL (ab Version 1.0.1n und 1.0.2b) beginnt, ein Zertifikat zu verifizieren, wird in diesem OpenSSL-Fehler versucht, eine alternative Zertifikatkette zu finden, wenn der erste Versuch, eine sichere Zertifikatkette zu erstellen, fehlschlägt. So weit, ist es gut.

Aber ein Fehler, wie diese Logik implementiert, übersprungen einige Sicherheitskontrollen auf neue, nicht vertrauenswürdige Zertifikate. Es hat z. B. nicht das Kennzeichen der Zertifizierungsstelle (CA) überprüft. Dies ermöglicht es einem Hacker, ein gültiges Blatt-Zertifikat zu verwenden, um als CA zu agieren und ein falsches Zertifikat “auszustellen”. Dies wiederum ermöglicht, dass Hacks wie eine beschädigte Website in der Lage, es ist eine andere, legitime Website.

Hacker können dies tun, weil der Bug Man-in-the-Middle-Angriffe erleichtert.

Dieses Problem betrifft OpenSSL-Versionen 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. Daher sollten OpenSSL 1.0.2b / 1.0.2c Benutzer auf 1.0.2d aktualisieren und OpenSSL 1.0.1n / 1.0.1o Benutzer sollten auf 1.0.1p aktualisieren.

Das Sicherheitsloch, (CVE-2015-1793), wurde von Google BoringSSL-Entwicklern entdeckt. Dies ist Googles eigenes Open-Source-SSL-Programm (Secure-Socket Layer). Es ist nicht dazu gedacht, OpenSSL als Open-Source-Projekt zu ersetzen, da seine Anwendungsprogrammierschnittstelle (API) und die Anwendungs-Binärschnittstelle (ABI) nicht stabil genug für ein universell einsetzbares Sicherheitsprogramm sind.

 Geschichten

Wie eine der größten Daten-Diebstähle in der US-Geschichte durch grundlegende Sicherheit gestoppt werden könnte, Ihr Zahnarzt ist wahrscheinlich mit schrecklich unsichere Patientensoftware, Zwei Drittel der Unternehmen zahlen Ransomware-Anforderungen: Aber nicht jeder bekommt ihre Daten zurück, diese böse Android-Malware versucht Um sich an Marshmallows Sicherheitsmerkmalen zu schikanieren

Chrome startet die Kennzeichnung von HTTP-Verbindungen als nicht sicher

Das Hyperledger-Projekt wächst wie gangbusters

Jetzt können Sie einen USB-Stick kaufen, der alles zerstört

Die Kosten für Ransomware-Angriffe: 1 Milliarde Dollar in diesem Jahr

CII nimmt Schritte, um Open-Source-Software sicherer zu machen, Logjam OpenSSL Sicherheitslücke gepatcht, Sie müssen die OpenSSL-Patches heute und nicht morgen anwenden

Sicherheit, Chrome zu starten Etikettierung von HTTP-Verbindungen als nicht sicher, Sicherheit, das Hyperledger-Projekt wächst wie gangbusters, Sicherheit, Jetzt können Sie kaufen einen USB-Stick, der alles zerstört, was in seinem Weg, Sicherheit, die Kosten für Ransomware-Angriffe: 1 Milliarde Dollar Jahr