Участники проекта OpenSSL устранили две уязвимости в криптографической библиотеке; одна из них расценивается как очень опасная.

Патчи содержатся в двух новых релизах OpenSSL, 1.0.1r и 1.0.2f; параллельно была повышена криптостойкость ранее принятых мер защиты от атак Logjam, использующих уязвимость в TLS.

Наиболее настоятельным является патч к бреши, которая проявляется лишь в OpenSSL 1.0.2, обеспечивая генерацию параметров в формате X9.42 для алгоритма Диффи — Хеллмана (DH). Ранее эти параметры генерировались лишь с использованием «надежных» простых чисел, которые на деле, согласно бюллетеню OpenSSL, оказались вполне доступными. «Когда приложение использует алгоритм Диффи — Хеллмана с параметрами, основанными на «ненадежных» простых числах, атакующий может воспользоваться этим фактом и определить секретную экспоненту пира», — поясняют разработчики.

При этом злоумышленнику придется провести не один хэндшейк с пиром, использующим одну и ту же расшифровывающую экспоненту, — пока вся она не станет известна. «OpenSSL обеспечивает опцию SSL_OP_SINGLE_DH_USE для эфемерных ключей DH (DHE) в TLS, — говорится далее в бюллетене. — По умолчанию она отключена. Если ее не включить, сервер будет повторно использовать ту же секретную экспоненту DH, пока не завершится обслуживающий процесс, и окажется уязвимым к этой атаке. Данная опция предположительно включена во многих популярных приложениях, поэтому их можно исключить из группы риска».

Для исправления ситуации SSL_OP_SINGLE_DH_USE была включена в OpenSSL по умолчанию; разработчики предупреждают админов, что это может повлиять на производительность. OpenSSL 1.0.1 этот баг не затрагивает, так как эта ветка не поддерживает параметры X9.42.

Пропатчена также менее опасная уязвимость, открывающая возможность для взлома на стороне клиента посредством отката до более слабых шифров протокола SSLv2. Она характерна для версий 1.0.2 и 1.0.1. «Вредоносный клиент может согласовать использование шифров SSLv2, отключенных на сервере, и завершить хэндшейк по SSLv2 даже в том случае, если все шифры SSLv2 были отключены, — но не сам протокол SSLv2, через SSL_OP_NO_SSLv2», — гласит бюллетень OpenSSL.

Повышение криптостойкости защиты от Logjam обеспечило возможность отвергать хэндшейки с DH-параметрами короче 768 бит. «В новом релизе потолок был поднят до 1024 бит, что должно повысить криптографические гарантии для всех TLS-соединений, использующих обмен эфемерными ключами Диффи — Хеллмана», — заявили разработчики.

Категории: Уязвимости