10.07.2015  Новости, Безопасность

Свободный проект криптографической библиотеки OpenSSL выступил с очень серьезным предупреждением по линии безопасности и выпустил патч для уязвимости, получившей код CVE-2015-1793. OpenSSL является широко используемой технологией, помогающей задействовать криптографические протоколы SSL/TLS (Secure Sockets Layer/Transport Layer Security) при передаче данных через Интернет и для серверов, и для устройств конечных пользователей. Сообщение об уязвимости CVE-2015-1793, озаглавленное «Alternative chains certificate forgery» (Подлог альтернативных цепочек сертификатов), информирует о том, что злоумышленник может имитировать легитимный цифровой сертификат безопасности. Цифровой сертификат SSL/TLS доказывает подлинность и достоверность конкретного сайта и соединения. «Если в ходе верификации сертификата первая попытка построить цепочку сертификатов будет неудачна, OpenSSL (начиная с версий 1.0.1n и 1.0.2b) делает попытку найти альтернативную цепочку. Ошибка в реализации этой логики может привести к тому, что злоумышленник сможет обойти определенные проверки недостоверных сертификатов, например проверку флага Центра сертификации (CA), и это позволит ему использовать подлинный сертификат низшего уровня в роли CA и „выпустить“ поддельный сертификат», — поясняется в сообщении проекта OpenSSL. Это означает возможность обойти целостность схемы аутентификации SSL/TLS, которая, как известно, лежит в основе безопасных операций в Интернете, и если злоумышленник знает об этом дефекте, он ... читать далее.