امنیت شبکه

امنیت شبکه

آسیب پذیری در OpenSSL مربوط به CVE-2016-2108

آسیب پذیری در OpenSSL مربوط به CVE-2016-2108

چکیده: در پیاده‌سازی ASN.1 در OpenSSL در نسخه‌های قدیمی آسیب‌پذیری وجود دارد که به حمله‌کننده اجازه می‌دهد کدهای دلخواه خود را اجرا کند و از طریق Buffer Overflow، باعث حمله منع دسترسی شود.

در ادامه این آسیب‌پذیری بیشتر توضیح داده می‌شود. در OpenSSL از ASN.1 (Abstract Syntax Notation.One) استفاده شده است. ASN.1 یک زبان توصیف واسط (IDL: Interface Description Language) برای توصیف ساختارهای داده است که امکان Serialization میان پلتفرم‌های مختلف را برقرار می‌کند.

چکیده: در پیاده‌سازی ASN.1 در OpenSSL در نسخه‌های قدیمی آسیب‌پذیری وجود دارد که به حمله‌کننده اجازه می‌دهد کدهای دلخواه خود را اجرا کند و از طریق Buffer Overflow، باعث حمله منع دسترسی شود.


در ادامه این آسیب‌پذیری بیشتر توضیح داده می‌شود. در OpenSSL از ASN.1 (Abstract Syntax Notation.One) استفاده شده است. ASN.1 یک زبان توصیف واسط (IDL: Interface Description Language) برای توصیف ساختارهای داده است که امکان Serialization میان پلتفرم‌های مختلف را برقرار می‌کند. Serialization به فرآیند تبدیل ساختارهای داده یا Object ها به فرمت قابل ذخیره یا انتقال در فایل، بافر حافظه و یا لینک شبکه گفته می‌شود و معکوس این فرآیند deserialization نام دارد.

مقدارهای بزرگ universal tag جزء ساختارهای تعریف شده و معمول ASN.1 نیستند اما پارسر ASN.1 این ساختارها را به شکل باز می‌پذیرد و آنها را معادل صفر منفی در نظر می‌گیرد. در این حالت (صفر منفی) داده از حد ابتدایی و یا انتهایی بافر تخصیص داده شده، گذر می‌کند (این امر اصطلاحا out-of-bounds write نامیده می‌شود) و اصطلاحا بافر، underflow می‌شود. Buffer underflow یا underrun در ارتباط میان دو فرآیند یا ابزار زمانی رخ می‌دهد که سرعت خالی شدن بافر از سرعت پر شدن آن بیشتر شود. Underflow شدن بافر موجب خرابی حافظه (memory corruption) می‌شود که خود منجر به حمله منع دسترسی و یا اجرای کدهای دلخواه می‌شود.

برای حل این مشکل باید نسخه OpenSSL 1.0.2 به 1.0.2c و OpenSSL 1.0.1 به 1.0.1o به روز رسانی شود.


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
امنیت شبکه

چکیده: در ماه نوامبر سال گذشته میلادی، یک هفته پس از اعلان آسیب‌پ

امنیت شبکه

چکیده: در پیاده‌سازی ASN.1 در OpenSSL در نسخه‌های قدیمی آسیب‌پذیری وج

امنیت شبکه

چکیده: MS15-034 یا CVE-2015-1635 با عنوان (Vulnerability in HTTP.sys could allow remote code execution )

امنیت شبکه

با گسترش کاربرد تکنولوزی‌های نوین در زندگی روزانه‌ی ما، چالش‌ها و مباحث نوینی

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search