ضعف امنیتی جدید در OpenSSL
اخیراً یک نقطه ضعف در کتابخانه متنباز OpenSSL که برای رمزنگاری ترافیک HTTP استفاده میشود شناسایی شده است که امکان شنود ارتباطات رمز شده را فراهم میسازد.
این ضعف امنیتی که دارای شناسه CVE-2014-0224 است، میتواند به نحوی مورد سوء استفاده قرار گیرد که سبب رمزگشایی ترافیکهای TLS/SSL میان کاربر و سرور شود. برای این منظور، نفوذگر باید ارتباطات میان کامپیوتر قربانی و یک سرور آسیبپذیر را شنود کند. این روش که به حمله مرد میانی (Man-in-the-Middle)موسوم است از طریق شبکههای بیسیم غیرامن و نفوذ به مسیریاب ها قابل اجراست.
ضعف امنیتی CVE-2014-0224 که توسط Masashi Kikuchi، محقق شرکت ژاپنی Lepidum کشف شده است در نگارشهای جدید 0.9.8za، 1.0.0m و 1.0.1h که اخیرا منتشر شده اند، اصلاح گردیده است. همچنین در نگارش های جدید چهار ضعف دیگر نیز ترمیم شده اند که در مواقع استفاده از کتابخانه OpenSSL برای ارتباطات پودمان DTLS، می توانستند منجر به حملات محرومسازی از سرویس و اجرای کد از راه دور شوند.
حمله مرد میانی از آن جهت امکانپذیر است که OpenSSL پیامهای Change Cipher Spec را در زمانهای نامناسب قبول میکند. این پیامها که تغییر ترافیک را از حالت رمزنشده به رمزشده به طرف دیگر ارتباط اعلام میکنند، باید تنها در زمانهایی خاص پذیرفته شوند.
بنا بر هشدار امنیتی که منتشر شده، صرفنظر از نگارش نرمافزارهای کلاینتی بر مبنای OpenSSL، تمام آنها آسیبپذیر هستند. اما در خصوص سرورها، تنها نگارشهای 1.0.1 و 1.0.2-beta1 آسیب پذیر اعلام شدهاند.
نسخه OpenSSL 1.0.1 در اوایل سال 2012 عرضه شد و گفته می شود در حال حاضر، 24 درصد از سرورهای استفادهکننده از پودمان SSL از این نگارش بهره میگیرند.
خبر خوب اینکه، مرورگرها به سبب دارا بودن سیستم پیادهسازی SSL/TLS غیرمبتنی بر OpenSSL، آسیبپذیر نیستند. با این حال بسیاری از نرمافزارها، به خصوص برنامههای گوشیهای همراه، از کتابخانه OpenSSL استفاده میکنند. همچنین این ضعف امنیتی ارتباطات VPN مبتنی بر OpenSSL را نیز تهدید میکند.
به نظر میرسد با توجه به لزوم بکارگیری از روش حمله مرد میانی، ضعف امنیتی اخیر، همچون Heart-bleed، چندان خطرساز نباشد. اما باید توجه داشت که کاربران عملاً نمیتوانند کاری در این خصوص انجام دهند و این وظیفه مدیران سایت ها است که در اسرع وقت اقدام به ارتقای کتابخانه OpenSSL کنند. بخصوص آنکه که حملات مرد میانی عملاً در هر دو سمت کلاینت و سرور قابل شناسایی نمیباشند.
