இன்றைய ஹேக்கர்கள் ஸ்மார்ட் ஆகிவிட்டனர். நீங்கள் அவர்களுக்கு ஒரு சிறிய ஓட்டை கொடுக்கிறீர்கள், மேலும் அவர்கள் உங்கள் குறியீட்டை சிதைக்க அதை முழுமையாகப் பயன்படுத்துகிறார்கள். இந்த நேரத்தில், ஹேக்கர்களின் கோபம் ஓப்பன்எஸ்எஸ்எல் என்ற திறந்த மூல கிரிப்டோகிராஃபிக் நூலகத்தின் மீது விழுந்துள்ளது, இது பொதுவாக இணைய சேவை வழங்குநர்களால் பயன்படுத்தப்படுகிறது.
இன்று, ஓபன்எஸ்எஸ்எல் ஆறு பாதிப்புகளுக்கான தொடர் இணைப்புகளை வெளியிட்டுள்ளது. சி.வி.இ -2016-2107 மற்றும் சி.வி.இ -2016-2108 உள்ளிட்ட இந்த பாதிப்புகளில் இரண்டு மிகவும் கடுமையானதாகக் கருதப்படுகின்றன.
சி.வி.இ -2016-2017, கடுமையான பாதிப்பு ஒரு ஹேக்கரை பேடிங் ஆரக்கிள் தாக்குதலைத் தொடங்க அனுமதிக்கிறது. பேடிங் ஆரக்கிள் தாக்குதல் AES-CBC மறைக்குறியீட்டைப் பயன்படுத்தும் இணைய இணைப்பிற்கான HTTPS போக்குவரத்தை டிக்ரிப்ட் செய்யலாம், AES-NI ஐ ஆதரிக்கும் சேவையகத்துடன்.
பேடிங் ஆரக்கிள் தாக்குதல் குறியாக்கப்பட்ட பேலோட் உள்ளடக்கத்தைப் பற்றி எளிய உரை உள்ளடக்கத்திற்காக ஹேக்கர்கள் மீண்டும் மீண்டும் கோரிக்கையை அனுப்ப அனுமதிப்பதன் மூலம் குறியாக்க பாதுகாப்பை பலவீனப்படுத்துகிறது. இந்த குறிப்பிட்ட பாதிப்பு முதலில் ஜூராஜ் சோமோரோவ்ஸ்கியால் கண்டுபிடிக்கப்பட்டது.
ஜூராஜ் ஒரு வலைப்பதிவு இடுகையில் எழுதினார், “ இந்த பிழைகளிலிருந்து நாம் கற்றுக்கொண்டது என்னவென்றால், கிரிப்டோ நூலகங்களை ஒட்டுவது ஒரு முக்கியமான பணியாகும், இது நேர்மறை மற்றும் எதிர்மறை சோதனைகள் மூலம் சரிபார்க்கப்பட வேண்டும். எடுத்துக்காட்டாக, சிபிசி திணிப்பு குறியீட்டின் பகுதிகளை மீண்டும் எழுதிய பிறகு, தவறான திணிப்பு செய்திகளுடன் சரியான நடத்தைக்கு TLS சேவையகம் சோதிக்கப்பட வேண்டும். TLS-Attacker ஒரு முறை அத்தகைய பணிக்கு பயன்படுத்தப்படலாம் என்று நம்புகிறேன். "
ஓபன்எஸ்எஸ்எல் நூலகத்தைத் தாக்கிய இரண்டாவது உயர் தீவிரத்தன்மை சி.வி.இ 2016-2018 என அழைக்கப்படுகிறது. இது ஒரு பெரிய குறைபாடாகும், இது தரவுகளை குறியாக்கம், டிகோடிங் மற்றும் பரிமாற்றத்திற்காகப் பயன்படுத்தப்படும் ஓப்பன்எஸ்எஸ்எல் ஏஎஸ்என் 1 தரநிலையின் நினைவகத்தை பாதிக்கிறது மற்றும் சிதைக்கிறது. இந்த குறிப்பிட்ட பாதிப்பு ஆன்லைன் சேவையகத்தில் தீங்கிழைக்கும் உள்ளடக்கத்தை இயக்க மற்றும் பரப்ப ஆன்லைன் ஹேக்கர்களை அனுமதிக்கிறது.
சி.வி.இ 2016-2018 பாதிப்பு ஜூன் 2015 இல் சரி செய்யப்பட்டது என்றாலும், பாதுகாப்பு புதுப்பிப்பின் தாக்கம் 11 மாதங்களுக்குப் பிறகு வெளிச்சத்திற்கு வந்துள்ளது. தனிப்பயனாக்கப்பட்ட மற்றும் போலி எஸ்எஸ்எல் சான்றிதழ்களைப் பயன்படுத்துவதன் மூலம் இந்த குறிப்பிட்ட பாதிப்பைப் பயன்படுத்த முடியும், இது சான்றிதழ் அதிகாரிகளால் கையொப்பமிடப்பட்டுள்ளது.
ஓபன்எஸ்எஸ்எல் ஒரே நேரத்தில் மற்ற நான்கு சிறிய வழிதல் பாதிப்புகளுக்கான பாதுகாப்பு இணைப்புகளையும் வெளியிட்டுள்ளது. இதில் இரண்டு வழிதல் பாதிப்புகள், ஒரு நினைவக சோர்வு பிரச்சினை மற்றும் ஒரு குறைந்த தீவிரத்தன்மை பிழை ஆகியவை அடங்கும், இதன் விளைவாக தன்னிச்சையான ஸ்டேக் தரவு இடையகத்தில் திரும்பியது.
பாதுகாப்பு புதுப்பிப்புகள் OpenSSl பதிப்பு 1.0.1 மற்றும் OpenSSl பதிப்பு 1.0.2 க்கு வெளியிடப்பட்டுள்ளன. OpenSSL குறியாக்க நூலகங்களுக்கு மேலும் சேதம் ஏற்படாமல் இருக்க, நிர்வாகிகள் இணைப்புகளை விரைவில் புதுப்பிக்க அறிவுறுத்தப்படுகிறார்கள்.
இந்த செய்தி முதலில் தி ஹேக்கர் நியூஸில் வெளியிடப்பட்டது
