۲۴ آبان ۱۴۰۳
به روز شده در: ۲۴ آبان ۱۴۰۳ - ۰۸:۲۷
فیلم بیشتر »»
کد خبر ۳۴۰۵۶۲
تاریخ انتشار: ۰۱:۱۷ - ۲۵-۰۳-۱۳۹۳
کد ۳۴۰۵۶۲
انتشار: ۰۱:۱۷ - ۲۵-۰۳-۱۳۹۳

آسیب‌پذیری جدید OpenSSL خوب وصله نشد

با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیب‌پذیری، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.
با وجود میزان خطر جدی آسیب‌پذیری کشف شده در OpenSSL، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

به گزارش فارس به نقل از  پایگاه خبری امنیت اطلاعات پس از آسیب‌پذیری‌ OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیب‌پذیری از نظر درجه اهمیت به اندازه آسیب‌پذیری HeartBleed مهم است و به همین دلیل اعمال وصله‌های آسیب‌پذیری CVE-2014-0224 به اندازه‌ی آسیب‌پذیری Heartbleed اهمیت دارد.

ایوان ریستیک، محقق امنیت نرم‌افزار‌ها و مهندس راهبر در Qualys،  اعلام کرده است که محققان این شرکت در آزمایشگاه SSL به‌دنبال بررسی از راه دور این آسیب‌پذیری در کارگزار‌ها هستند. هفته‌ جاری این محققان پویش مد‌نظر را روی مجموعه‌داده‌های تولید شده توسط SSL Pluse، پروژه‌ی جهانی که ناظر بر کیفیت پشتیبانی از SSL ‌باشد، اعمال کرده‌اند، و با این کار قصد دارند تا به دنبال همه‌ نسخه‌‌های تحت تاثیر این آسیب‌پذیری در نسخه‌های سرویس‌گیرنده‌ی OpenSSL و نسخه‌ی 1.0.1 از نرم‌افزار کارگزار باشند.

مقایسه‌های مد‌نظر با این مجموعه‌داده نشان می‌دهد که 49 درصد از کارگزار‌ها هنوز در مقابل این آسیب‌پذیری، وصله نشده‌اند و این در حالی است که 14 درصد کارگزار‌ها دارای شرایط سوء‌استفاده از این آسیب‌پذیری هستند. (نسخه‌های 1.0.1)

با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیب‌پذیری، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

در این پروژه هم‌چنین مشخص شده است که 36 درصد از کارگزار‌ها نسخه‌های قدیمی‌تر از OpenSSL را اجرا می‌کنند که اصلاً قابلیت سوء‌استفاده از این آسیب‌پذیری در آن‌ها وجود ندارد، تخمین ساده‌ای در مورد آسیب‌پذیری Heartbleed نشان می‌دهد که  24 درصد ار کارگزار‌ها در مقابل Heartbleed آسیب‌پذیر بودند که 38 درصد آن‌ها در هفته اول وصله شدند.

این آسیب‌پذیری مربوط به کتابخانه‌ی رمز‌نگاری OpenSSL است، OpenSSL  در طول یک رد و‌ بدل توافقی از تبادل اطلاعات که در دنیای شبکه به  دست‌دهی معروف است، به صورت نامناسبی CCS می‌پذیرد، که این آسیب‌پذیری می‌تواند مهاجم را قادر کند تا از راه دور به سوء‌استفاده از این آسیب‌پذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها می‌تواند برای سوء‌استفاده از این آسیب‌پذیری بین کارگزار و مشتری آسیب‌پذیر قرار بگیرد.

با این توضیحات مشخص می‌شود که اگر‌چه تاثیرات این آسیب‌پذیری کم‌تر از Heartbleed است اما خطر این آسیب‌پذیری دست‌کمی از Heartbleed ندارد و باید هرچه سریع‌تر کارگزار‌ها و سرویس‌گیرنده‌ها آخرین نسخه‌ی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.
برچسب ها: آسیب‌پذیری ، openssl
ارسال به دوستان
کشف معبد 4 هزار ساله تمدن رازآمیز «دیلمون» در یکی از جزایر خلیج فارس (+عکس) مواجهه والدین با اختلالات یادگیری فرزندان طرح متفاوت یک سکونتگاه «درختی» در جنگل‌های رامسر(+عکس) اپیدمی «تنهایی مردانه»؛ چرا مردان بیشتر از زنان احساس انزوا می‌کنند؟ چرا سراغ موسیقی های غمگین می رویم؟ آیا این نوعی مازوخیسم است؟ انتشار تصاویری از نسخه کمیاب نمونه اولیه آیفون با دکمه‌های هپتیکی چرا قراول‌ها هنگام اذان پیشفنگ می‌کردند؟ تپه‌های شگفت‌انگیز کشور کره که سرشار از گنجینه‌های طلایی هستند بیوگرافی ماری کوری؛ بزرگ‌ترین دانشمند زن تاریخ(+عکس) معماری خاص یک خانه دایره‌ای در جنگل‌های ژاپن(+عکس) کشف عجیبی که مهارت مصریان باستان در تغییرشکل شاخ احشام را آشکار می‌کند(+عکس) موبایل مخصوص ترامپ و ایلان ماسک طراحی شد(عکس) این «پل» در اصفهان برگزیده جشنواره جهانی معماری شد(+عکس) از بازی تا جراحی / گیمرها می‌توانند جراح شوند؟ پرتره‌های عجیب از مسابقه قهرمانی ریش و سبیل