Další zero-day zranitelnost v OpenSSL a ticho po pěšině

kryptografieVzpomínáte ještě na kritickou zranitelnost Heartbleed v OpenSSL a celou tu hysterii okolo?

Teď jsme tady měli další zranitelnost CVE-2015-1793, která dosáhla ještě vyššího CVSS skóre a nic. A to je dobře. Ale zaznamenali jste tuto zranitelnost vůbec? Nejspíš ne, protože se o ní skoro vůbec nepsalo.

Je zajímavé, že některým zranitelnostem se dostane nebývalé mediální pozornosti a po jiných neštěkne ani pes. Pravda je, že za více než rok se v OpenSSL objevilo několik tuctů takových zranitelností, ale žádná z nich si již nezasloužila takovou pozornost.

Možná si vybavíte ještě POODLE a FREAK, ale víte vůbec o těch ostatních? Zranitelnosti v OpenSSL mě mimochodem přivedly k úvaze, zda je open source skutečně tak bezpečný, jak jeho zástnaci tvrdí, ale to teď není podstatné.

Různě závažné zranitelnosti v OpenSSL prostě byly v době před Heartbleedem i po, jen se o nich tolik nemluvilo. Ostatně přesvědčit se můžete sami přímo na stránkách projektu OpenSSL.

Poslední zranitelnost „Alternative chains certificate forgery“ (CVE-2015-1793), která umožňovala padělat řetěz důvěry certifikátů, však byla trochu jiné kafe, a byla odstraněna v OpenSSL verze 1.0.2d, která byla uvolněna 9. července 2015.

Nelze si totiž nevšimnout, že záznam CVE byl vytvořen již 17. 02. 2015, a teprve až 09. 07. 2015, tedy bezmála o půl roku později, byly detaily ohledně této zranitelnosti zveřejněny. Lze tedy předpokládat, že zde existovaly určité obavy z jejího zneužití, a proto další detaily nebyly zveřejněny dříve, než byla k dispozici nová verze OpenSSL.

Znamená to, že vývojáři OpenSSL zastávají názor, že zveřejnění detailních informací ohledně nějaké zranitelnosti napomáhá spíše útočníkům?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Další zero-day zranitelnost v OpenSSL a ticho po pěšině” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: