Κενό ασφαλείας στο AmiSSL

Με βάση μια έρευνα που έκανε ο Harry Sintonen, και μια αναλυτική αναφορά, βρέθηκαν κενά ασφαλείας στο AmiSSL, που επιρεάζει προγράμματα όπως το IBrowse, AWeb, Yam και SimpleMail. Στις δοκιμές του χρησιμοποίησε την έκδοση 3.6 του AmiSSL, που είχε κυκλοφορήσει το 2006. Το AmiSSL βασίζεται σε παλιά έκδοση του OpenSSL και δυστυχώς, διορθώσεις που έγιναν σε αυτό δεν πέρασαν ποτέ και στην έκδοση για το AmigaOS.

Η ομάδα ανάπτυξης του IBrowse ανακοίνωσε ότι πρέπει να απενεργοποιήσετε την υποστήριξη του SSL v2 από τις ρυθμίσεις ασφαλείας (Security) του προγράμματος. Επίσης, επιβεβαιώστε ότι στην οθόνη "Ciphers" τα DES, 3DES (Encryption), MD5 (MAC) και Export (Cipher grade) είναι όλα απενεργοποιημένα.

Για να απενεργοποιήσετε το SSL v2 στο AmiSSL γενικώς ανοίξτε ένα παράθυρο shell και γράψτε μέσα την εντολή "setenv save AmiSSL/SSL_CLIENT_VERSION ssl3", χωρίς τα εισαγωγικά. Αυτή καταχωρεί μια νέα τιμή σε μεταβλητή στο ENVARC και είναι εντελώς ακίνδυνη για το σύστημά σας.

Την ολοκληρωμένη ανάλυση του Harry Sintonen μπορείτε να την διαβάσετε εδώ.