Vulnerabilitas Kritis OpenSSL Tersolusikan

raining-keys-4da7006834a4663c

raining-keys-4da7006834a4663c

Patch untuk beberapa bug yang ada di OpenSSL sudah tersedia, sehingga resiko pemalsuan sertifikat di banyak implementasi crypto protocol berhasil disolusikan.

Versi OpenSSL 1.0.1n dan 1.0.2b memerlukan perbaikan guna menangani bug yang dapat membuat hacker melakukan serangan crypto untuk mengelabui verifikasi sertifikat, sebagaimana yang dijelaskan oleh OpenSSL.

Saat melakukan proses verifikasi sertifikat, OpenSSL (mulai dari versi 1.01n dan 1.0.2b) akan berupaya mencari chain sertifikat alternatif jika upaya pertama membuat chain sertifikat gagal.

Error pada implementasi logika tersebut membuat seorang penyerang dapat melakukan bypass pemeriksaan untrusted certificate – seperti CA flag. Mereka kemudian bisa menggunakan sertifkat yang tidak berlaku sebagai CA dan “menerbitkan” sebuah sertifikat yang tidak valid.

Masalah ini berdampak pada semua aplikasi yang melakukan verifikasi sertifikat termasuk klien SSL/TLS/DTLS dan server SSL/TLS/DTLS yang menggunakan autentikasi klien.

Vulnerabilitas tersebut terjadi pada OpenSSL versi 1.0.2c, 1.0.2b, 1.0.1n and 1.0.1o.

Masalah ini pertama kali dilaporkan ke OpenSSL pada tanggal 24 Juni 2015 lalu oleh Adam Langley/David Benjamin dari Google/BoringSSL. Perbaikan dilakukan oleh proyek BoringSSL.

Para pengembang OpenSSL menyampaikan bahwa perbaikan akan diberikan pada hari Senin tanpa menyediakan detail apapun. Patch tersebut dinanti dengan sangat oleh industri, dikarenakan baru saja selang berapa bulan yang lalu terjadi vulnerabilitas Heartbleed yang muncul awalnya dari kecacatan yang ada di OpenSSL.

Reaksi awal dari para pakar menyebutkan bahwa kecacatan terakhir ini adalah hal yang buruk, tapi bukan Heartbleed.

“Level kecacatannya buruk, tetapi tampaknya tidak sampai pada level Heartbleed,”demikian menurut pakar keamanan Chris Eng dalam update di akun Twitter pribadinya. [opensource.id]

%d bloggers like this: