Beberapa waktu lalu tim proyek OpenSSL memperkenalkan OpenSSL versi 1.1.0c yang membahas tiga kerentanan keamanan dalam software-nya. Yang paling serius dari semua adalah buffer overflow bug (CVE-2016-7054) yang terkait dengan Transport Layer Security (TLS) connections menggunakan *-CHACHA20-POLY1305 cipher suite. Kerentanan dilaporkan oleh Robert Święcki dari Tim Keamanan Google pada tanggal 25 September, kerentanan tersebut dapat menyebabkan serangan DoS yang dapat merusak payloads yang sangat besar dan mengakibatkan crash pada OpenSSL.


Kerentanan tersebut mendapatkan rating "Tinggi" hanya saja kelemahan tersebut tidak mempengaruhi OpenSSL versi sebelum yaitu OpenSSL 1.1.0. Namun tim OpenSSL melaporkan tidak ada bukti bahwa cacat tersebut dieksploitasi oleh pejahat cyber untuk melakukan serangan DDoS.

Proyek OpenSSL memberikan patch pada kerentanan(CVE-2016-7053) yang dapat menyebabkan aplikasi crash.

    "Aplikasi parsing struktur CMS tidak valid dan dapat mengakibatkan crash NULL pointer dereference. Hal ini disebabkan oleh bug dalam penanganan ASN.1 CHOICE type di OpenSSL 1.1.0 yang dapat menghasilkan nilai NULL. Struktur CHOICE hanya menggunakan callback yang tidak menangani nilai NULL " jelas tim OpenSSL.

Kerentanan juga mempengaruhi OpenSSL 1.1.0. Update 1.1.0c OpenSSL juga memperbaiki cacat (CVE-2016-7055) yang terkait dengan Broadwell-specific prosedur perkalian Montgomery yang menangani masukan lebih lama dari 256 bit. Masalah ini awalnya tidak dianggap sebagai masalah keamanan, namun para ahli telah menunjukkan bahwa kerentanan dapat dieksploitasi oleh penyerang dalam keadaan yang sangat spesifik.

Kerentanan ini mempengaruhi OpenSSL versi 1.0.2, namun karena cacat parah, tim tidak mengeluarkan update saat ini. Perbaikan akan dimasukkan dalam versi 1.0.2 rilis berikutnya. Jadi, pengguna dianjurkan untuk menunggu untuk itu.

Semua pengguna sangat dianjurkan untuk meng-upgrade software mereka untuk OpenSSL versi 1.1.0c. Seperti di pengumuman sebelumnya, OpenSSL Project telah mengingatkan penggunanya bahwa proyek tidak akan lagi mendukung OpenSSL versi 1.0.1 setelah 31 Desember 2016 dan tidak akan menerima update keamanan setelah batas waktu tersebut.
 
Top