۰۶ دی ۱۴۰۳
به روز شده در: ۰۶ دی ۱۴۰۳ - ۱۷:۱۱
فیلم بیشتر »»
کد خبر ۳۴۰۵۶۲
تاریخ انتشار: ۰۱:۱۷ - ۲۵-۰۳-۱۳۹۳
کد ۳۴۰۵۶۲
انتشار: ۰۱:۱۷ - ۲۵-۰۳-۱۳۹۳

آسیب‌پذیری جدید OpenSSL خوب وصله نشد

با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیب‌پذیری، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.
با وجود میزان خطر جدی آسیب‌پذیری کشف شده در OpenSSL، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

به گزارش فارس به نقل از  پایگاه خبری امنیت اطلاعات پس از آسیب‌پذیری‌ OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیب‌پذیری از نظر درجه اهمیت به اندازه آسیب‌پذیری HeartBleed مهم است و به همین دلیل اعمال وصله‌های آسیب‌پذیری CVE-2014-0224 به اندازه‌ی آسیب‌پذیری Heartbleed اهمیت دارد.

ایوان ریستیک، محقق امنیت نرم‌افزار‌ها و مهندس راهبر در Qualys،  اعلام کرده است که محققان این شرکت در آزمایشگاه SSL به‌دنبال بررسی از راه دور این آسیب‌پذیری در کارگزار‌ها هستند. هفته‌ جاری این محققان پویش مد‌نظر را روی مجموعه‌داده‌های تولید شده توسط SSL Pluse، پروژه‌ی جهانی که ناظر بر کیفیت پشتیبانی از SSL ‌باشد، اعمال کرده‌اند، و با این کار قصد دارند تا به دنبال همه‌ نسخه‌‌های تحت تاثیر این آسیب‌پذیری در نسخه‌های سرویس‌گیرنده‌ی OpenSSL و نسخه‌ی 1.0.1 از نرم‌افزار کارگزار باشند.

مقایسه‌های مد‌نظر با این مجموعه‌داده نشان می‌دهد که 49 درصد از کارگزار‌ها هنوز در مقابل این آسیب‌پذیری، وصله نشده‌اند و این در حالی است که 14 درصد کارگزار‌ها دارای شرایط سوء‌استفاده از این آسیب‌پذیری هستند. (نسخه‌های 1.0.1)

با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیب‌پذیری، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

در این پروژه هم‌چنین مشخص شده است که 36 درصد از کارگزار‌ها نسخه‌های قدیمی‌تر از OpenSSL را اجرا می‌کنند که اصلاً قابلیت سوء‌استفاده از این آسیب‌پذیری در آن‌ها وجود ندارد، تخمین ساده‌ای در مورد آسیب‌پذیری Heartbleed نشان می‌دهد که  24 درصد ار کارگزار‌ها در مقابل Heartbleed آسیب‌پذیر بودند که 38 درصد آن‌ها در هفته اول وصله شدند.

این آسیب‌پذیری مربوط به کتابخانه‌ی رمز‌نگاری OpenSSL است، OpenSSL  در طول یک رد و‌ بدل توافقی از تبادل اطلاعات که در دنیای شبکه به  دست‌دهی معروف است، به صورت نامناسبی CCS می‌پذیرد، که این آسیب‌پذیری می‌تواند مهاجم را قادر کند تا از راه دور به سوء‌استفاده از این آسیب‌پذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها می‌تواند برای سوء‌استفاده از این آسیب‌پذیری بین کارگزار و مشتری آسیب‌پذیر قرار بگیرد.

با این توضیحات مشخص می‌شود که اگر‌چه تاثیرات این آسیب‌پذیری کم‌تر از Heartbleed است اما خطر این آسیب‌پذیری دست‌کمی از Heartbleed ندارد و باید هرچه سریع‌تر کارگزار‌ها و سرویس‌گیرنده‌ها آخرین نسخه‌ی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.
برچسب ها: آسیب‌پذیری ، openssl
ارسال به دوستان
المیرا شریفی‌مقدم ناگهان برنامه زنده را ترک کرد (فیلم) اعلام ترکیب استقلال و چادرملو برای نبرد یزد؛ موسیمانه با آرایش تهاجمی به میدان می‌رود سازنده بهترین فیلم سال یک فیلم دیگر را دوست دارد روایت تکان دهنده روان شناس اسرائیلی از وحشی گری نظامیان صهیونیست: از شکستن دست و پای کودک 4 ساله ای که بازی می کرد تا قتل های روزمره! طنز تلخ هنرمند لهستانی در نقد ادعای اخلاقی‌ترین ارتش جهان (فیلم) انتصاب رئیس جدید دستگاه اطلاعات سوریه توسط مخالفان مسلح آیا دولت کره جنوبی، تهدید بزرگ بعدی سامسونگ است؟ یورش به جواهرفروشی با خودرو (فیلم) دیدار الجولانی با هیأت عراقی در دمشق چرا در بسته‌های چیپس اینهمه «هوا» هست؟ دوربین مخفی تکان دهنده یک خبرنگار آمریکایی که بسیار جنجالی شده است (فیلم) روستای زیبای سلین، کردستان(عکس) فرآیند ساخت کلبه چوبی در اعماق جنگل های اروپا (فیلم) در جستجوی اسپیلت در کوه‌های شمیران پرونده قضایی برای یک چهره ورزشی بابت نگهداری توله شیر