آسیب‌پذیری جدید OpenSSL خوب وصله نشد

با وجود میزان خطر جدی آسیب‌پذیری کشف شده در OpenSSL، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

به گزارش فارس به نقل از  پایگاه خبری امنیت اطلاعات پس از آسیب‌پذیری‌ OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیب‌پذیری از نظر درجه اهمیت به اندازه آسیب‌پذیری HeartBleed مهم است و به همین دلیل اعمال وصله‌های آسیب‌پذیری CVE-2014-0224 به اندازه‌ی آسیب‌پذیری Heartbleed اهمیت دارد.

ایوان ریستیک، محقق امنیت نرم‌افزار‌ها و مهندس راهبر در Qualys،  اعلام کرده است که محققان این شرکت در آزمایشگاه SSL به‌دنبال بررسی از راه دور این آسیب‌پذیری در کارگزار‌ها هستند. هفته‌ جاری این محققان پویش مد‌نظر را روی مجموعه‌داده‌های تولید شده توسط SSL Pluse، پروژه‌ی جهانی که ناظر بر کیفیت پشتیبانی از SSL ‌باشد، اعمال کرده‌اند، و با این کار قصد دارند تا به دنبال همه‌ نسخه‌‌های تحت تاثیر این آسیب‌پذیری در نسخه‌های سرویس‌گیرنده‌ی OpenSSL و نسخه‌ی 1.0.1 از نرم‌افزار کارگزار باشند.

مقایسه‌های مد‌نظر با این مجموعه‌داده نشان می‌دهد که 49 درصد از کارگزار‌ها هنوز در مقابل این آسیب‌پذیری، وصله نشده‌اند و این در حالی است که 14 درصد کارگزار‌ها دارای شرایط سوء‌استفاده از این آسیب‌پذیری هستند. (نسخه‌های 1.0.1)

با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیب‌پذیری، نرخ اعمال وصله‌ها اصلاً خوب نیست، در صورتی که در مورد آسیب‌پذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصله‌ها بسیار مناسب بود.

در این پروژه هم‌چنین مشخص شده است که 36 درصد از کارگزار‌ها نسخه‌های قدیمی‌تر از OpenSSL را اجرا می‌کنند که اصلاً قابلیت سوء‌استفاده از این آسیب‌پذیری در آن‌ها وجود ندارد، تخمین ساده‌ای در مورد آسیب‌پذیری Heartbleed نشان می‌دهد که  24 درصد ار کارگزار‌ها در مقابل Heartbleed آسیب‌پذیر بودند که 38 درصد آن‌ها در هفته اول وصله شدند.

این آسیب‌پذیری مربوط به کتابخانه‌ی رمز‌نگاری OpenSSL است، OpenSSL  در طول یک رد و‌ بدل توافقی از تبادل اطلاعات که در دنیای شبکه به  دست‌دهی معروف است، به صورت نامناسبی CCS می‌پذیرد، که این آسیب‌پذیری می‌تواند مهاجم را قادر کند تا از راه دور به سوء‌استفاده از این آسیب‌پذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها می‌تواند برای سوء‌استفاده از این آسیب‌پذیری بین کارگزار و مشتری آسیب‌پذیر قرار بگیرد.

با این توضیحات مشخص می‌شود که اگر‌چه تاثیرات این آسیب‌پذیری کم‌تر از Heartbleed است اما خطر این آسیب‌پذیری دست‌کمی از Heartbleed ندارد و باید هرچه سریع‌تر کارگزار‌ها و سرویس‌گیرنده‌ها آخرین نسخه‌ی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.