Další zero-day zranitelnost v OpenSSL a ticho po pěšině
Vzpomínáte ještě na kritickou zranitelnost Heartbleed v OpenSSL a celou tu hysterii okolo?
Teď jsme tady měli další zranitelnost CVE-2015-1793, která dosáhla ještě vyššího CVSS skóre a nic. A to je dobře. Ale zaznamenali jste tuto zranitelnost vůbec? Nejspíš ne, protože se o ní skoro vůbec nepsalo.
Je zajímavé, že některým zranitelnostem se dostane nebývalé mediální pozornosti a po jiných neštěkne ani pes. Pravda je, že za více než rok se v OpenSSL objevilo několik tuctů takových zranitelností, ale žádná z nich si již nezasloužila takovou pozornost.
Možná si vybavíte ještě POODLE a FREAK, ale víte vůbec o těch ostatních? Zranitelnosti v OpenSSL mě mimochodem přivedly k úvaze, zda je open source skutečně tak bezpečný, jak jeho zástnaci tvrdí, ale to teď není podstatné.
Různě závažné zranitelnosti v OpenSSL prostě byly v době před Heartbleedem i po, jen se o nich tolik nemluvilo. Ostatně přesvědčit se můžete sami přímo na stránkách projektu OpenSSL.
Poslední zranitelnost „Alternative chains certificate forgery“ (CVE-2015-1793), která umožňovala padělat řetěz důvěry certifikátů, však byla trochu jiné kafe, a byla odstraněna v OpenSSL verze 1.0.2d, která byla uvolněna 9. července 2015.
Nelze si totiž nevšimnout, že záznam CVE byl vytvořen již 17. 02. 2015, a teprve až 09. 07. 2015, tedy bezmála o půl roku později, byly detaily ohledně této zranitelnosti zveřejněny. Lze tedy předpokládat, že zde existovaly určité obavy z jejího zneužití, a proto další detaily nebyly zveřejněny dříve, než byla k dispozici nová verze OpenSSL.
Znamená to, že vývojáři OpenSSL zastávají názor, že zveřejnění detailních informací ohledně nějaké zranitelnosti napomáhá spíše útočníkům?
Štítky: kryptografie, zranitelnosti
K článku “Další zero-day zranitelnost v OpenSSL a ticho po pěšině” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.