আজকের হ্যাকাররা স্মার্ট হয়ে উঠেছে। আপনি তাদের সামান্য লুফোলটি দিন এবং তারা আপনার কোডটি ক্র্যাক করার জন্য এটির পুরো সুযোগ নিয়ে নেয়। এবার প্রায়, হ্যাকারদের ক্রোধ ওপেনএসএসএল-এর উপর পড়েছে, একটি ওপেন সোর্স ক্রিপ্টোগ্রাফিক লাইব্রেরি, যা সাধারণত ইন্টারনেট সেবা সরবরাহকারীদের দ্বারা ব্যবহৃত হয়।
আজ, ওপেনএসএসএল ছয়টি দুর্বলতার জন্য একটি সিরিজ প্যাচ প্রকাশ করেছে। এর মধ্যে দু'টি দুর্বলতাকে সিভিই -2016-2107 এবং সিভিই -2016-2108 সহ অত্যন্ত গুরুতর বলে গণ্য করা হয়।
CVE-2016-2017, একটি মারাত্মক দুর্বলতা হ্যাকারকে একটি প্যাডিং ওরাকল আক্রমণ শুরু করার অনুমতি দেয়। প্যাডিং ওরাকল অ্যাটাকটি এইইএস-সিবিসি সাইফার ব্যবহার করে এমন একটি ইন্টারনেট সংযোগের জন্য এইচটিপিপিএস ট্র্যাফিকটিকে ডিক্রিপ্ট করতে পারে যা AES-NI সমর্থন করে এমন একটি সার্ভার দিয়ে।
প্যাডিং ওরাকল অ্যাটাকটি এনক্রিপ্ট হওয়া পেডলোড সামগ্রী সম্পর্কে হ্যাকারদের বারবার অনুরোধ পাঠানোর অনুমতি দিয়ে এনক্রিপশন সুরক্ষাটিকে দুর্বল করে। এই বিশেষ দুর্বলতাটি প্রথম আবিষ্কার করেছিলেন জুরাজ সোমোরভস্কি by
জুরজ একটি ব্লগ পোস্টে লিখেছেন, “ আমরা এই বাগগুলি থেকে যা শিখেছি তা হ'ল ক্রিপ্টো লাইব্রেরিগুলি প্যাচ করা একটি গুরুত্বপূর্ণ কাজ এবং ইতিবাচক পাশাপাশি নেতিবাচক পরীক্ষার মাধ্যমেও বৈধ হওয়া উচিত। উদাহরণস্বরূপ, সিবিসি প্যাডিং কোডের অংশগুলি পুনরায় লেখার পরে, টিএলএস সার্ভারটি অবৈধ প্যাডিং বার্তাগুলির সাথে সঠিক আচরণের জন্য পরীক্ষা করা উচিত। আমি আশা করি টিএলএস-আক্রমণকারী একবার এই জাতীয় কাজের জন্য ব্যবহার করা যেতে পারে। "
ওপেনএসএসএল লাইব্রেরিতে দ্বিতীয় যে উচ্চ তীব্রতার দুর্বলতা এসেছিল তাকে সিভিই 2016-2018 বলা হয়। এটি একটি প্রধান ত্রুটি যা ওপেনএসএসএল এএসএন 1 স্ট্যান্ডার্ডের মেমোরিটিকে প্রভাবিত করে এবং দূষিত করে যা এনকোডিং, ডিকোডিং এবং ডেটা স্থানান্তর করার জন্য ব্যবহৃত হয়। এই বিশেষ দুর্বলতা অনলাইন হ্যাকারগুলিকে ওয়েব সার্ভারের মাধ্যমে দূষিত সামগ্রী কার্যকর করতে এবং ছড়িয়ে দেওয়ার মঞ্জুরি দেয়।
যদিও দুর্বলতা CVE 2016-2018 জুন ২০১৫ এ আবার ঠিক করা হয়েছিল, তবে সুরক্ষা আপডেটের প্রভাব 11 মাস পরে প্রকাশিত হয়েছে। এই নির্দিষ্ট দুর্বলতা শংসাপত্র কর্তৃপক্ষ দ্বারা যথাযথ স্বাক্ষরিত, কাস্টমাইজড এবং জাল এসএসএল শংসাপত্র ব্যবহার করে ব্যবহার করা যেতে পারে।
ওপেনএসএসএল একই সাথে অন্য চারটি ছোট ছোট ওভারফ্লো দুর্বলতার জন্য সুরক্ষা প্যাচ প্রকাশ করেছে। এর মধ্যে দুটি ওভারফ্লো দুর্বলতা, একটি মেমরি ক্লান্তি ইস্যু এবং একটি নিম্ন তীব্রতা বাগ রয়েছে যার ফলস্বরূপ নির্বিচারে স্ট্যাক ডেটা বাফারে ফিরে আসে।
ওপেনএসএসএল সংস্করণ 1.0.1 এবং ওপেনএসএসএল সংস্করণ 1.0.2 এর জন্য সুরক্ষা আপডেট প্রকাশ করা হয়েছে। ওপেনএসএসএল এনক্রিপশন গ্রন্থাগারগুলির আরও কোনও ক্ষতি এড়াতে প্রশাসকদের প্রশাসনিক পরামর্শ দেওয়া হয়েছে যত তাড়াতাড়ি সম্ভব প্যাচগুলি আপডেট করুন।
এই সংবাদটি মূলত দ্য হ্যাকার নিউজে প্রকাশিত হয়েছিল
