OpenSSL diawal minggu ini merilis update keamanan darurat setelah sebelumnya merilis patch yang paling baru pada minggu lalu, untuk menutup celah keamanan kritis pada cryptographic library.
Isu keamanan terbaru yang ditemukan hanya terjadi pada OpenSSL 1.1.0a, yang dirilis pada hari Kamis, 22 September 2016, dan pengguna disarankan untuk segera mengupdatenya menjadi versi 1.1.0b yang baru dirilis pada awal minggu ini.
Patch pada versi 1.1.0a sebenarnya dirilis untuk memperbaiki isu, CVE-2016-6307, dimana ditemukan alokasi memori yang berlebihan pada tls_get_message_header. OpenSSL menilai masalah ini sebagai bug dengan low-severity dan mengatakan bahwa hal ini dapat menyebabkan server menjadi crash.
Meski dihadirkan untuk memperbaiki bugs, namun patch 1.1.0a justru membawa celah keamanan baru, dimana jika pesan yang lebih besar dari 16K diterima, buffer yang menyimpan pesan akan direlokasi dan dipindahkan.
Update 1.1.0b juga membawa patch untuk menutup celah keamanan yang hanya terjadi pada versi 1.0.2i, yang juga dirilis pada minggu kemarin.
Bug, CVE-2016-7052, diberi label certificate revocation list (CRL) yang hilang pada komponen sanity check. OpenSSL mengatakan sanity check aslinya ditambahkan pada versi 1.1.0, tetapi telah dihapus dari versi 1.0.2i.
“Sebagai hasilnya setiap percobaan menggunakan CRL pada OpenSSL versi 1.0.2i akan mengalami crash dengan pengecualian null pointer,” jelas OpenSSL. Jika pengguna menggunakan versi 1.0.2i, maka harus segera mengupdate-nya ke versi 1.0.2j akan memperbaiki masalah tersebut.
Update patch minggu lalu hanya menutup satu celah keamanan kritis, yang ditemukan pada implementasi Online Certificate Status Protol (OCSP) di OpenSSL. Dimana hal tersebut dapat menyebabkan server menjadi crash, dan yang lebih berbahaya hacker dapat mengeksekusi kode arbitrary.
OCSP merupakan alternatif dari CRL dan digunakan oleh klien untuk melakukan Ping ke server, dengan meminta status dari digital certificate. Klien yang menggunakan ekstensi Status Request dengan mengirim OCSP berukuran besar dapat menyebabkan bug ini dan server menjadi crash.
OpenSSL juga telah mengurangi dampak dari celah keamanan Sweet32, CVE-2016-2183. Sweet 32 ditemukan pada bulan Agustus dan berpengaruh pada versi 64-bit. Sama seperti Triple (DES) dan Blowfish, Sweet 32 memungkinkan hacker untuk mengembalikan autentikasi dari data cookie dari traffic 3DES, username dan password dari traffic OpenVPN.