آموزشاخبارامنیت

آسیب‌پذیری امنیتی OpenSSL

بنا بر گزارش منتشر شده در وب‌سایت رسمی OpenSSL، آسیب‌پذیری امنیتی (کد آسیب‌پذیری: CVE-2015-1793) در توابع کتابخانه­‌ای مورد استفاده OpenSSL با درجه Critical (بحرانی) کشف شده‌است.

این آسیب­‌پذیری به هکرها اجازه می‌دهد در وب‌سایت‌های رمزنگاری شده توسط OpenSSl به کمک حملات Man-In-The-Middle attack جعل هویت انجام داده و حتی در شبکه‌های VPN (شبکه­ مجازی خصوصی) و سرورهای ایمیل استراق سمق نمایید.

openssl-vulnerability به علت وجود مشکلی که در فرآیند Certificate Verification (بررسی صحت اعتبار­نامه­‌ها) می‌باشد، آسیب‌پذیری مذکور رخ داده و در نتیجه‌ی آن برخی از بررسی­‌های امنیتی بر روی اعتبارنامه‌­های جدید و یا اعتبارنامه‌­هایی که هنوز صحت آن‌­ها مشخص نشده­ است، صورت نمی­‌گیرد. با استفاده از این مشکل هکرها می‌توانند اعلان‌های خطای مربوط به اعتبارنامه‌­ها را دور بزنند، بنابراین قادر خواهند بود تا برنامه‌­های کاربردی را مجبور به استفاده از اعتبارنامه‌های جعلی کنند.

آسیب‌پذیری مذکور اولین بار توسط دو تن از کارمندان گوگل به نام‌های Adam langley و David Benjamin گزارش شده‌است.

رفع آسیب‌پذیری OpenSSL:

این آسیب‌پذیری در نسخه‌های ۱٫۰٫۲c، ۱٫۰٫۲b، ۱٫۰٫۱n و ۱٫۰٫۱o وجود دارد و OpenSSL برای رفع این آسیب‌­پذیری، اعلام کرده‌است در اولین فرصت نسخه‌های OpenSSL 1.0.2b/1.0.2c به نسخه OpenSSL 1.0.2d و نسخه‌های OpenSSL 1.0.1n/1.0.1o به OpenSSL ۱٫۰٫۱p به‌روز رسانی گردد.

جهت دانلود آخرین نسخه‌ی OpenSSL می‌توانید به لینک زیر مراجعه نمایید:

https://www.openssl.org/source/

راهنمای بروزرسانی نسخه OpenSSL:

برای به‌روز رسانی مراحل زیر را طی نمایید:
    ۱- نسخه جدید را از سایت OpenSSL دانلود نمایید.
    ۲- از حالت فشرده خارج نموده و تنظیم نمایید (دستورات زیر برای نسخه OpenSSL ۱٫۰٫۱p نوشته شده‌است، برای به‌روز رسانی به نسخه OpenSSL 1.0.2d کلیه عبارت‌های «openssl-1.0.1p.tar» را به «openssl-1.0.2d.tar» تغییر دهید).
    ۳- سپس به کمک دستورات زیر نصب نمایید.

برای بروزرسانی می‌توانید از دستورات زیر نیز استفاده نمایید.

توجه داشته باشید که پس از نصب حتما سرور را Reboot نمایید.

برچسب ها

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن