Poważna luka w OpenSSL na RHEL 6

Poważna luka w OpenSSL na RHEL 6

    przez -
    2 443
    Red Hat
    W wydanym kilka dniu temu systemie Red Hat Enterprise Linux 6 odnaleziono poważną lukę bezpieczeństwa w OpenSSL. Błąd został wyjaśniony przez Mark J. Cox’a. Luka pozwala na zdalne eksploitowanie aplikacji. Pozwala ona na skompromitowanie aplikacji wykorzystując przepełnienie sterty, co w konsekwencji może prowadzić do uzyskania dostępu do systemu.

    W przypadku obsługi wielu sesji, korzystających z rozszerzenia TLS, może dojść do przepełnienia sterty i przemycenia do 255 bajtów danych. Zostaną one potraktowane jako kod do wykonania, który może skompromitować aplikację lub system.

    Na szczęście błąd można wykorzystać tylko na wielordzeniowych serwerach, które wykorzystują wewnętrzny mechanizm cachowania OpenSSL. Błąd oznaczony numerem CVE-2010-3864 dotyczy systemów:

    • Red Hat Enterprise Linux Desktop (v. 6)
    • Red Hat Enterprise Linux HPC Node (v. 6)
    • Red Hat Enterprise Linux Server (v. 6)
    • Red Hat Enterprise Linux Workstation (v. 6)
    • Wszystkie wersje systemu Fedora

    Błąd nie dotyczy serwera Apache oraz innych aplikacji, które nie wykorzystują mechanizmów wewnętrznego buforowania OpenSSL.

    Łatka została bardzo szybko wydana. Firma Red Hat wydała erratę do swoich systemów. Użytkownicy powinni szybko zaktualizować OpenSSL do wersji 0.9.8p lub 1.0.0b.

    • I to się nazywa naprawienie systemu ;D Przynajmniej wiadomo, za co płacę :]

    • Greg

      Ale to nie luka w systemie a OpenSSL. Red Hat tylko dał cynk o problemie i łatkę bardzo szybko.

      Co więcej to na testach i eksploitowaniu tej luki na RHEL udało się tylko zawiesić program.