عدم به روز رسانی OpenSSL در سایت های HTTPS معروف

عدم به روز رسانی OpenSSL در سایت های HTTPS معروف

تعدادی از وب سایت های معروف که داده ها را با پروتکل SSL رمزگذاری می کنند هم چنان نسبت به حفره اخیر OpenSSL آسیب پذیری می باشند. این حفره به مهاجمان اجازه می دهد تا ارتباطات را پیگیری و رمزگشایی نمایند.

 

به گزارش ایتنا از مرکز ماهر، روز پنجم ژوئیه، توسعه دهندگان کتابخانه رمزگذاری OpenSSL به منظور برطرف کردن چندین آسیب پذیری، به روز رسانی های امنیتی فوری را منتشر کردند که از جمله این آسیب پذیری ها، آسیب پذیری CVE-2014-0224 است که به مهاجمان اجازه می دهد تا ارتباطات رمزگذاری شده را در موقعیتی خاص شنود نمایند.

پروتکل OpenSSL یکی از محبوب ترین کتابخانه های رمزگذاری برای پیاده سازی SSL/TLS بر روی سرورهای وب می باشد.

به منظور سوء استفاده از آسیب پذیری CVE-2014-0224 برای رمزگشایی و تغییر ترافیک SSL، مهاجم باید موقعیتی برای حمله”man-in-the-middle” بین کلاینت و سروری که هر دو از OpenSSL استفاده می کنند، داشته باشد. از آن گذشته سرور باید در حال اجرای نسخه ۱.۰.۱ از OpenSSLباشد.

با توجه به یافته های محققان حدود ۱۴ درصد از سایت هایی که توسط پروژه SSL Pulse مانتیور شده اند در حال اجرای نسخه های از OpenSSL می باشند که به حفره CVE-2014-0224 آسیب پذیر هستند.

پروژه SSL Pulse پیاده سازی SSL را بر روی سایت های HTTPS مانیتور می کند. این سایت ها از بین فهرست ۱ میلیون وب سایت پر بیننده که توسط شرکت Alexa تهیه شده، انتخاب شده است.

در این میان ۳۶ درصد از وب سایت ها در حال اجرای نسخه ۰.۹.x و ۱.۰.۰ بودند که نسبت به این حفره آسیب پذیر می باشند. این سرورها باید به نسخه های اصلاح شده به روز رسانی شوند زیرا ممکن است هدف حملات مهاجمان قرار بگیرند.

خبر خوب آن است که بیشتر مرورگر ها از OpenSSL استفاده نمی کنند و این بدان معناست که بیشتر کاربران مرورگر تحت تاثیر این آسیب پذیری قرار ندارند. با این وجود، مرورگرهای اندورید از OpenSSL استفاده می کنند و نسبت به این حملات آسیب پذیری هستند.

علاوه بر این، بسیاری از ابزارهای خط فرمان و برنامه های شبیه سازی از OpenSSL استفاده می کنند.

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
منبع: ایتنا

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.