.png "عصر ایران")
۲۱ دی ۱۴۰۳
به روز شده در: ۲۱ دی ۱۴۰۳ - ۱۰:۰۱
نمای امروز تهران از ارتفاعات؛ شهر دفن زیر دود (فیلم) آسیبپذیری جدید OpenSSL خوب وصله نشد
با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیبپذیری، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
با وجود میزان خطر جدی آسیبپذیری کشف شده در OpenSSL، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
به گزارش فارس به نقل از پایگاه خبری امنیت اطلاعات پس از آسیبپذیری OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیبپذیری از نظر درجه اهمیت به اندازه آسیبپذیری HeartBleed مهم است و به همین دلیل اعمال وصلههای آسیبپذیری CVE-2014-0224 به اندازهی آسیبپذیری Heartbleed اهمیت دارد.
ایوان ریستیک، محقق امنیت نرمافزارها و مهندس راهبر در Qualys، اعلام کرده است که محققان این شرکت در آزمایشگاه SSL بهدنبال بررسی از راه دور این آسیبپذیری در کارگزارها هستند. هفته جاری این محققان پویش مدنظر را روی مجموعهدادههای تولید شده توسط SSL Pluse، پروژهی جهانی که ناظر بر کیفیت پشتیبانی از SSL باشد، اعمال کردهاند، و با این کار قصد دارند تا به دنبال همه نسخههای تحت تاثیر این آسیبپذیری در نسخههای سرویسگیرندهی OpenSSL و نسخهی 1.0.1 از نرمافزار کارگزار باشند.
مقایسههای مدنظر با این مجموعهداده نشان میدهد که 49 درصد از کارگزارها هنوز در مقابل این آسیبپذیری، وصله نشدهاند و این در حالی است که 14 درصد کارگزارها دارای شرایط سوءاستفاده از این آسیبپذیری هستند. (نسخههای 1.0.1)
با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیبپذیری، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
در این پروژه همچنین مشخص شده است که 36 درصد از کارگزارها نسخههای قدیمیتر از OpenSSL را اجرا میکنند که اصلاً قابلیت سوءاستفاده از این آسیبپذیری در آنها وجود ندارد، تخمین سادهای در مورد آسیبپذیری Heartbleed نشان میدهد که 24 درصد ار کارگزارها در مقابل Heartbleed آسیبپذیر بودند که 38 درصد آنها در هفته اول وصله شدند.
این آسیبپذیری مربوط به کتابخانهی رمزنگاری OpenSSL است، OpenSSL در طول یک رد و بدل توافقی از تبادل اطلاعات که در دنیای شبکه به دستدهی معروف است، به صورت نامناسبی CCS میپذیرد، که این آسیبپذیری میتواند مهاجم را قادر کند تا از راه دور به سوءاستفاده از این آسیبپذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها میتواند برای سوءاستفاده از این آسیبپذیری بین کارگزار و مشتری آسیبپذیر قرار بگیرد.
با این توضیحات مشخص میشود که اگرچه تاثیرات این آسیبپذیری کمتر از Heartbleed است اما خطر این آسیبپذیری دستکمی از Heartbleed ندارد و باید هرچه سریعتر کارگزارها و سرویسگیرندهها آخرین نسخهی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.
به گزارش فارس به نقل از پایگاه خبری امنیت اطلاعات پس از آسیبپذیری OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیبپذیری از نظر درجه اهمیت به اندازه آسیبپذیری HeartBleed مهم است و به همین دلیل اعمال وصلههای آسیبپذیری CVE-2014-0224 به اندازهی آسیبپذیری Heartbleed اهمیت دارد.
ایوان ریستیک، محقق امنیت نرمافزارها و مهندس راهبر در Qualys، اعلام کرده است که محققان این شرکت در آزمایشگاه SSL بهدنبال بررسی از راه دور این آسیبپذیری در کارگزارها هستند. هفته جاری این محققان پویش مدنظر را روی مجموعهدادههای تولید شده توسط SSL Pluse، پروژهی جهانی که ناظر بر کیفیت پشتیبانی از SSL باشد، اعمال کردهاند، و با این کار قصد دارند تا به دنبال همه نسخههای تحت تاثیر این آسیبپذیری در نسخههای سرویسگیرندهی OpenSSL و نسخهی 1.0.1 از نرمافزار کارگزار باشند.
مقایسههای مدنظر با این مجموعهداده نشان میدهد که 49 درصد از کارگزارها هنوز در مقابل این آسیبپذیری، وصله نشدهاند و این در حالی است که 14 درصد کارگزارها دارای شرایط سوءاستفاده از این آسیبپذیری هستند. (نسخههای 1.0.1)
با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیبپذیری، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
در این پروژه همچنین مشخص شده است که 36 درصد از کارگزارها نسخههای قدیمیتر از OpenSSL را اجرا میکنند که اصلاً قابلیت سوءاستفاده از این آسیبپذیری در آنها وجود ندارد، تخمین سادهای در مورد آسیبپذیری Heartbleed نشان میدهد که 24 درصد ار کارگزارها در مقابل Heartbleed آسیبپذیر بودند که 38 درصد آنها در هفته اول وصله شدند.
این آسیبپذیری مربوط به کتابخانهی رمزنگاری OpenSSL است، OpenSSL در طول یک رد و بدل توافقی از تبادل اطلاعات که در دنیای شبکه به دستدهی معروف است، به صورت نامناسبی CCS میپذیرد، که این آسیبپذیری میتواند مهاجم را قادر کند تا از راه دور به سوءاستفاده از این آسیبپذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها میتواند برای سوءاستفاده از این آسیبپذیری بین کارگزار و مشتری آسیبپذیر قرار بگیرد.
با این توضیحات مشخص میشود که اگرچه تاثیرات این آسیبپذیری کمتر از Heartbleed است اما خطر این آسیبپذیری دستکمی از Heartbleed ندارد و باید هرچه سریعتر کارگزارها و سرویسگیرندهها آخرین نسخهی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.
نظرات کاربران
لینک کوتاه: کپی لینک
اولین اظهارات روحانی فرودگاه مهرآباد : اصلا تذکر حجاب ندادم (فیلم) جانشین فرمانده بسیج : دشمن با جنگ نرم در سوریه توانست روحیه نیروهای دولتی را تضعیف و موجب سقوط دولت اسد شود تأیید مرگ ۷ تن در آتش سوزی گسترده لس آنجلس و دستور تخلیه دهها هزار نفر ورود سامانه بارشی جدید به کشور از شنبه سخنگوی وزارت خارجه: تبعه ایرانی و فرزندش از سوریه خارج و بهزودی به ایران بازمیگردند وزیر بهداشت : شبکه بهداشت و درمان کشور فرسوده است اولین واکنش وزارت خارجه سوئیس به خودکشی تبعه اش در ایران بایدن: به رئیس جمهور جدید لبنان اعتماد دارم و عمیقا معتقدم که او رهبر مناسبی است واکنش بایدن به آتش سوزی در لس آنجلس : مردم با یک کابوس مواجه شدهاند رهبر مخالفین ونزوئلا دستگیر شد وفاق پزشکیان آموختن از تاریخ است امگا ۳ تا پنج سال طول عمر را افزایش می دهد هنر خواندن ذهن و کنترل فکر تقویت مغز و حافظه با ادویه های خوشمزه ماجراجویی در دل معروف ترین آبشارهای یخی ایران / از آبشار یخی تهران تا همدان