توسعهدهندگان OpenSSL وصلههای مختلفی بهمنظور رفع آسیبپذیریهای خطرناک ارائه کردند.
به گزارش گرداب، آسیبپذیری خطرناکی در OpenSSL رفع شد که به هکرها اجازه میداد تا ترافیک داده رمزشده را شناسایی کرد. این آسیبپذیری با کد CVE-2016-0701 شناخته میشود.
آسیبپذیری وصله شده در بر اساس روش بازیابی کلید که در مقالهای در سال 1997 شرح دادهشده بود، دور زده میشود. OpenSSL در نسخه 1.0.2 بهمنظور پشتیبانی از RFC 5114 متغیرهایی را تولید میکند که امن نیستند. هکرها با استفاده از همین متغیرها میتوانند کلید رمزنگاری را به دست آورده و ترافیک را رمزگشایی کنند.
علاوه بر آسیبپذیری فوق، دو آسیبپذیری دیگر نیز وصله شدند. آسیبپذیری خطرناکتر مربوط به الگوریتم پیادهسازی تبادل کلیدهای دیفی-هلمن است که تنها در نسخه 1.0.2 موجود است.
بهمنظور رفع آسیبپذیریهای ذکرشده، بهتر است کاربران نسخه OpenSSL خود را به آخرین نسخه ارتقاء دهند.
منبع: سایبربان