تشخیص و درمان آسیبپذیری OpenSSL برای مدیران سایت ها
در جریان تایید صلاحیت گواهینامه ها که برای مثال برای وب سایتهای HTTPS توسط OpenSSL انجام می شود، در صورتی که اولین تلاش OpenSSL برای یافتن یک گواهینامه معتبر با شکست رو به رو بشود بطور معمول OpenSSL سعی خواهد کرد که گواهینامه جایگزین دیگری را که در زنجیره موجود از گواهینامه ها وجود دارد پیدا نماید.
اما اکنون (پنج شنبه ۱۸ تیر ۱۳۹۴ – نهم جولای ۲۰۱۵ ) کشف شده است که در این بخش بدلیل وجود یک خطای منطقی در پیادهسازی کد OpenSSL (با شروع از نسخه 1.0.1n و 1.0.2b) یک نفوذگر میتواند انجام تست های معینی را که برای برررسی گواهینامه های نامعتبر در نظر گرفته شده است را دور بزند.
که یکی از این موارد فلگ مربوط به صلاحیت گواهینامه می باشد.
بطوری که باعث می شود آن تست ها یک گواهینامه ایی که در انتهای زنجیر گواهینامه ها قرار دارد را بعنوان یک گواهینامه ریشه در نظر بگیرند و از اینرو بتوان با اختیارات آن، یک گواهینامه نامعتبر صادر نمود.
بطور خلاصه میتوان از یک گواهینامه معتبر که صرفاً بعنوان فرزند صادر شده است و اختیارات گواهینامه ریشه را ندارد استفاده نموده و با این آسیبپذیری آن را بعنوان گواهینامه ریشه معرفی نمود تا از اختیارات آن برای صدور دیگر گواهینامه های نامعتبر استفاده نمود.
و این بزرگترین فاجعه ممکن برای این کتابخانه و استفاده کنند های از آن است !
چرا که هر شخصی میتواند از طریق این آسیبپذیری برای خود گواهینامه های معتبر ایجاد نماید! و مهمتر آنکه نفوذگر میتواند حملات Man In The Middle را بر روی هر سایتی که از OpenSSL استفاده میکند انجام بدهد بدون آنکه کاربران اخطاری در رابطه با نامعتبر بودن گواهینامه ارتباطی شان مشاهده نمایند !
برای کسب اطلاعات بیشتر در این زمینه می توانید به توضیحات ارائه شده در آدرس های زیر رجوع نمائید