Peretas hari ini telah menjadi pintar. Anda memberi mereka sedikit celah dan mereka memanfaatkannya sepenuhnya untuk memecahkan kode Anda. Kali ini, amarah para peretas telah menimpa OpenSSL, perpustakaan kriptografi open source, paling umum digunakan oleh penyedia layanan internet.
Hari ini, OpenSSL telah merilis serangkaian tambalan untuk enam kerentanan. Dua dari kerentanan ini dianggap sangat parah, termasuk CVE-2016-2107 dan CVE-2016-2108.
The CVE-2016-2017, kerentanan parah memungkinkan seorang hacker untuk memulai Padding Oracle Attack. Padding Oracle Attack dapat mendekripsi lalu lintas HTTPS untuk koneksi internet yang menggunakan cipher AES-CBC, dengan server yang mendukung AES-NI.
Padding Oracle Attack melemahkan perlindungan enkripsi dengan memungkinkan peretas mengirim permintaan berulang untuk konten teks biasa tentang konten payload terenkripsi. Kerentanan khusus ini pertama kali ditemukan oleh Juraj Somorovsky.
Juraj menulis dalam posting blog, “ Apa yang kami pelajari dari bug ini adalah menambal perpustakaan crypto adalah tugas penting dan harus divalidasi dengan tes positif maupun negatif. Sebagai contoh, setelah menulis ulang bagian dari kode padding CBC, server TLS harus diuji untuk perilaku yang benar dengan pesan padding yang tidak valid. Saya harap TLS-Attacker dapat digunakan untuk tugas seperti itu. ”
Kerentanan tingkat keparahan tinggi kedua yang menghantam perpustakaan OpenSSL disebut CVE 2016-2018. Ini adalah kelemahan utama yang memengaruhi dan merusak memori standar OpenSSL ASN.1 yang digunakan untuk menyandikan, mendekode, dan mentransfer data. Kerentanan khusus ini memungkinkan peretas online untuk mengeksekusi dan menyebarkan konten berbahaya melalui server web.
Meskipun kerentanan CVE 2016-2018 diperbaiki kembali pada Juni 2015, tetapi dampak pembaruan keamanan telah terungkap setelah 11 bulan. Kerentanan khusus ini dapat dieksploitasi dengan menggunakan sertifikat SSL yang disesuaikan dan palsu, yang ditandatangani oleh otoritas sertifikasi.
OpenSSL juga telah merilis patch keamanan untuk empat kerentanan minor overflow pada saat yang sama. Ini termasuk dua kerentanan overflow, satu masalah kehabisan memori dan satu bug dengan keparahan rendah yang mengakibatkan data tumpukan sewenang-wenang dikembalikan dalam buffer.
Pembaruan keamanan telah dirilis untuk OpenSSl versi 1.0.1 dan OpenSSl versi 1.0.2. Untuk menghindari kerusakan lebih lanjut pada pustaka enkripsi OpenSSL, administrator disarankan untuk memperbarui tambalan sesegera mungkin.
Berita ini awalnya diterbitkan di The Hacker News
