OpenSSL benar-benar di-root oleh bug parsing sertifikat – Keamanan
Technology

OpenSSL benar-benar di-root oleh bug parsing sertifikat – Keamanan

Sebuah bug di perpustakaan kriptografi OpenSSL open source yang sangat populer dapat disalahgunakan untuk menyebabkan infinite loop yang menyebabkan kondisi penolakan layanan, menurut temuan peneliti keamanan.

Peneliti keamanan Google Project Zero David Benjamin dan Tavis Ormandy menemukan bug tersebut, dan melaporkannya ke pengelola proyek OpenSSL pada 25 Februari.

Dinilai sebagai tingkat keparahan tinggi, bug dapat dipicu oleh sertifikat digital berbahaya dengan parameter kurva eksplisit yang tidak valid, kata OpenSSL dalam penasehatnya.

“Fungsi BN_mod_sqrt(), yang menghitung akar kuadrat modular, berisi
bug yang dapat menyebabkannya berulang selamanya untuk modulus non-prime,” kata proyek OpenSSL.

Penasihat mengatakan loop tak terbatas dapat menyebabkan penolakan layanan untuk server TLS yang menggunakan sertifikat klien; penyedia hosting yang mengambil sertifikat atau kunci pribadi dari pelanggan; otoritas sertifikat mengurai permintaan sertifikasi dari pelanggan; dan apa pun yang mem-parsing parameter kurva eliptik ASN.1.

OpenSSL versi 1.0.2, 1.1.1 dan 3.0 dipengaruhi oleh bug, dan pengguna disarankan untuk meningkatkan ke versi 1.0.2zd untuk pelanggan dukungan tambahan premium, masing-masing 1.1.1n dan 3.0.2.

Pustaka kriptografi LibreSSL yang didasarkan pada OpenSSL, dan dikelola oleh OpenBSD, juga telah memperbarui perangkat lunaknya.

Versi 3.3.6, 3.4.3, dan 3.5.1, ditambal terhadap kondisi penolakan loop tak terbatas dari kondisi layanan, akan segera muncul di mirror OpenBSD, saran pengelola LibreSSL.

Posted By : pengeluaran hk hari ini 2021