Błąd w implementacji OpenSSL

7 września 2006 0 przez Michał Tomaszkiewicz

Z powodu błędu w implementacji biblioteka kryptograficzna OpenSSL może nie wykryć sfałszowanych cyfrowych podpisów.

Luka występuje we wszystkich systemach korzystających z OpenSSL, a szczególnie dotkliwa może być w przypadku serwerów i wirtuanych sieci prywatnych opierających się na SSL/TLS. Błąd został naprawiony w wersjach 0.9.7k i 0.9.8c biblioteki.

Warunku sprzyjające przeprowadzeniu ataku dzięki luce powstają, gdy organizacja certyfikująca tworzy certyfikat X.509 z wykorzystaniem klucza RSA.

Twórcy OpenSSL zalecają jak najszybsze zaktualizowanie oprogramowania do bezpiecznych wersji. Zespół pracuje nad łatami dla gałęzi 0.9.6, 0.9.7, 0.9.8 oraz 0.9.9.