بنا بر گزارش منتشر شده در وبسایت رسمی OpenSSL، آسیبپذیری امنیتی (کد آسیبپذیری: CVE-2015-1793) در توابع کتابخانهای مورد استفاده OpenSSL با درجه Critical (بحرانی) کشف شدهاست.
این آسیبپذیری به هکرها اجازه میدهد در وبسایتهای رمزنگاری شده توسط OpenSSl به کمک حملات Man-In-The-Middle attack جعل هویت انجام داده و حتی در شبکههای VPN (شبکه مجازی خصوصی) و سرورهای ایمیل استراق سمق نمایید.
به علت وجود مشکلی که در فرآیند Certificate Verification (بررسی صحت اعتبارنامهها) میباشد، آسیبپذیری مذکور رخ داده و در نتیجهی آن برخی از بررسیهای امنیتی بر روی اعتبارنامههای جدید و یا اعتبارنامههایی که هنوز صحت آنها مشخص نشده است، صورت نمیگیرد. با استفاده از این مشکل هکرها میتوانند اعلانهای خطای مربوط به اعتبارنامهها را دور بزنند، بنابراین قادر خواهند بود تا برنامههای کاربردی را مجبور به استفاده از اعتبارنامههای جعلی کنند.
آسیبپذیری مذکور اولین بار توسط دو تن از کارمندان گوگل به نامهای Adam langley و David Benjamin گزارش شدهاست.
رفع آسیبپذیری OpenSSL:
این آسیبپذیری در نسخههای 1.0.2c، 1.0.2b، 1.0.1n و 1.0.1o وجود دارد و OpenSSL برای رفع این آسیبپذیری، اعلام کردهاست در اولین فرصت نسخههای OpenSSL 1.0.2b/1.0.2c به نسخه OpenSSL 1.0.2d و نسخههای OpenSSL 1.0.1n/1.0.1o به OpenSSL 1.0.1p بهروز رسانی گردد.
جهت دانلود آخرین نسخهی OpenSSL میتوانید به لینک زیر مراجعه نمایید:
https://www.openssl.org/source/
راهنمای بروزرسانی نسخه OpenSSL:
cd /usr/src # wget http://www.openssl.org/source/openssl-1.0.1p.tar.gz # tar -xvzf openssl-1.0.1p.tar.gz # cd openssl-1.0.1p/ #./config -DOPENSSL_NO_HEARTBEATS #make #make test #make install
برای بروزرسانی میتوانید از دستورات زیر نیز استفاده نمایید.
#yum clean all #yum update openssl
توجه داشته باشید که پس از نصب حتما سرور را Reboot نمایید.