آج کے ہیکر ہوشیار ہوگئے ہیں۔ آپ ان کو تھوڑی سی کھوج دیں اور وہ آپ کے کوڈ کو توڑنے کے ل it اس کا بھرپور فائدہ اٹھائیں۔ اس بار ، ہیکرز کا غصہ اوپن ایس ایل پر کھڑا ہوا ، جو ایک اوپن سورس کریپٹوگرافک لائبریری ہے ، جسے عام طور پر انٹرنیٹ سروس فراہم کرنے والے استعمال کرتے ہیں۔
آج ، اوپن ایس ایل نے چھ خطرات کے سلسلے میں سیریز پیچ جاری کیا ہے۔ ان میں سے دو خطرات انتہائی شدید سمجھے جاتے ہیں ، جن میں CVE-2016-2107 اور CVE-2016-2108 شامل ہیں۔
سی وی ای -2017-2017 ، ایک شدید خطرہ ایک ہیکر کو پیڈنگ اوریکل حملہ شروع کرنے کی اجازت دیتا ہے۔ پیڈنگ اوریکل اٹیک HTEPS ٹریفک کو ایسے انٹرنیٹ کنیکشن کے لئے ڈیکریپٹ کرسکتا ہے جو AES-CBC سائفر کا استعمال کرتا ہے ، ایسے سرور کے ساتھ جو AES-NI کو سپورٹ کرتا ہے۔
پیڈنگ اوریکل اٹیک انکرپشن تحفظ کو کمزور کرتا ہے جس کی وجہ سے ہیکرز کو ایک انکرپٹڈ پے لوڈ کے مشمولات کے بارے میں سادہ متن والے مواد کے لئے بار بار درخواست بھیجنے کی اجازت دیتا ہے۔ اس خاص خطرے کو سب سے پہلے جوراج سوموروفسکی نے دریافت کیا تھا۔
جوراج نے ایک بلاگ پوسٹ میں لکھا ، " ہم نے ان کیڑے سے جو کچھ سیکھا ہے وہ یہ ہے کہ کرپٹو لائبریریوں کو پیچ بنانا ایک اہم کام ہے اور اسے مثبت اور نفی ٹیسٹ کے ساتھ درست کیا جانا چاہئے۔ مثال کے طور پر ، سی بی سی پیڈنگ کوڈ کے کچھ حصوں کو دوبارہ لکھنے کے بعد ، ٹی ایل ایس سرور کو غلط پیڈنگ میسجز کے ساتھ صحیح سلوک کے ل tested جانچنا ہوگا۔ مجھے امید ہے کہ TLS-Attacker ایک بار اس طرح کے کام کے لئے استعمال کیا جا سکتا ہے۔ "
اوپن ایس ایس ایل لائبریری کو متاثر کرنے والی دوسری اعلی شدت کے خطرے کو CVE 2016-2018 کہا جاتا ہے۔ یہ ایک اہم خامی ہے جو اوپن ایس ایس ایل ASN.1 معیار کی میموری کو متاثر کرتی ہے اور خراب کرتی ہے جو ڈیٹا کو انکوڈنگ ، ضابطہ سازی اور منتقلی کے لئے استعمال کیا جاتا ہے۔ یہ خاص طور پر عدم استحکام آن لائن ہیکروں کو ویب سرور پر غلط مواد پھیلانے اور پھیلانے کی اجازت دیتا ہے۔
اگرچہ خطرے سے متعلق CVE 2016-2018 کو جون 2015 میں دوبارہ طے کیا گیا تھا ، لیکن سیکیورٹی اپ ڈیٹ کا اثر 11 ماہ بعد سامنے آیا ہے۔ اس خاص خطرے کا تخصیص کردہ اور جعلی ایس ایس ایل سرٹیفکیٹ استعمال کرکے مستفید کیا جاسکتا ہے ، جن پر سرٹیفیکیشن حکام نے دستخط کیے تھے۔
اوپن ایس ایل نے بیک وقت چار دیگر معمولی اوور فلو خطرات کیلئے سیکیورٹی پیچ جاری کردیئے ہیں۔ ان میں دو اوور فلو کمزوریاں ، ایک میموری ختم ہونے کا مسئلہ اور ایک کم شدت والا مسئلہ جس کے نتیجے میں صوابدیدی اسٹیک کے ڈیٹا کو بفر میں واپس کردیا گیا ہے۔
حفاظتی اپ ڈیٹ اوپن ایس ایل ورژن 1.0.1 اور اوپن ایس ایل ورژن 1.0.2 کے لئے جاری کردیئے گئے ہیں۔ اوپن ایس ایل انکرپشن لائبریریوں کو کسی بھی مزید نقصانات سے بچنے کے ل administ ، منتظمین کو جلد سے جلد پیچ کی تازہ کاری کرنے کا مشورہ دیا گیا ہے۔
یہ خبر اصل میں دی ہیکر نیوز پر شائع ہوئی تھی۔
