Dezvoltatorul proiectului OpenSSL a lansat noile versiuni ale bine cunoscutei biblioteci OpenSSL, in scopul de-a remedia o problema de vulnerabilitate de tipul denial-of-service (DoS) datorata unui patch de securitate aparut la data de 6 ianuarie.
Problema de securitate din patch-ul CVE-2011-4108 putea fi exploatata printr-un atac DoS, conform avertizarilor emise de dezvoltatorii OpenSSL. Aceasta problema a fost remediata in versiunile noi aparute de OpenSSL, mai exact 1.0.0g si 0.9.8t aparute miercurea trecuta.
Patch-ul CVE-2011-4108 se refera la o vulnerabilitate serioasa aparuta in implementarea protocolului OpenSSL DTLS (Datagram Transport Layer Security) din OpenSSL, protocol ce permitea atacatorilor sa decrypteze comunicatiile cryptate cu ajutorul OpenSSL, fara a cunoaste cheile de cryptare.
Vulnerabilitatea a fost descoperita de Nadhem Alfardan si Paterson Kenny (membri ai grupului Information Security din Royal Holloway, Universitatea din Londra).
Acestia intentioneaza sa prezinte un atac de tipul “padding oracle attack” impotriva DTLS la cel de-al nousprezecelea simpozion al Annual Network & Distributed System Security (NDSS) care va avea loc in luna februarie.
Utilizatorii sau administratorii de servere dedicate (in special cei din industria de hosting web) care nu au actualizat inca OpenSSL sunt sfatuiti sa faca upgrade in cel mai scurt timp posibil, pentru a se putea proteja astfel de un astfel de atac.
OpenSSL este disponibil pentru o gama foarte larga de platforme si sisteme de operare cum ar fi Linux, Solaris, Mac OS X, BSD, Windows Si OpenVMS. Unele dintre aceste sistem includ OpenSSL implicit si pun la dispozitie utilizatorilor, prin canale proprii, diferite update-uri sau actualizari.