OpenSSL হল SSLeay ভিত্তিক একটি বিনামূল্যের সফ্টওয়্যার প্রকল্প।
সম্পর্কে তথ্য প্রকাশ করা হয় একটি সংশোধনমূলক সংস্করণ প্রকাশ ক্রিপ্টো লাইব্রেরি OpenSSL 3.0.7, যা দুটি দুর্বলতা ঠিক করেযা এবং কেন এই সংশোধনমূলক সংস্করণ প্রকাশ করা হয়েছে X.509 শংসাপত্র যাচাই করার সময় বাফার ওভারফ্লো দ্বারা শোষিত হয়।
এটি উল্লেখ করার মতো উভয় সমস্যা একটি বাফার ওভারফ্লো দ্বারা সৃষ্ট হয় X.509 শংসাপত্রে ইমেল ঠিকানা ক্ষেত্রটি যাচাই করার কোডে এবং একটি বিশেষভাবে তৈরি শংসাপত্র প্রক্রিয়াকরণের সময় কোড কার্যকর করতে পারে।
ফিক্স প্রকাশের সময়, ওপেনএসএসএল ডেভেলপাররা একটি কার্যকরী শোষণের অস্তিত্ব সম্পর্কে রিপোর্ট করেনি যা আক্রমণকারীর কোডটি কার্যকর করতে পারে।
একটি কেস যেখানে সার্ভার শোষণ করা যেতে পারে TLS ক্লায়েন্ট প্রমাণীকরণের মাধ্যমে, যা CA স্বাক্ষরের প্রয়োজনীয়তাগুলিকে বাইপাস করতে পারে, যেহেতু ক্লায়েন্ট শংসাপত্রগুলি সাধারণত একটি বিশ্বস্ত CA দ্বারা স্বাক্ষর করার প্রয়োজন হয় না৷ যেহেতু ক্লায়েন্ট প্রমাণীকরণ বিরল এবং বেশিরভাগ সার্ভারে এটি সক্রিয় নেই, তাই সার্ভারের শোষণ কম ঝুঁকিপূর্ণ হওয়া উচিত।
হামলাকারীরা একটি দূষিত TLS সার্ভারে ক্লায়েন্টকে নির্দেশ করে এই দুর্বলতাকে কাজে লাগাতে পারে যা দুর্বলতা ট্রিগার করতে একটি বিশেষভাবে তৈরি শংসাপত্র ব্যবহার করে।
যদিও নতুন রিলিজের জন্য প্রাক-প্রকাশের ঘোষণায় একটি সমালোচনামূলক সমস্যা উল্লেখ করা হয়েছে, আসলে, প্রকাশিত আপডেটে, দুর্বলতার স্থিতি বিপদজনক-এ নামিয়ে আনা হয়েছিল, কিন্তু সমালোচনামূলক নয়।
প্রকল্পে গৃহীত নিয়ম অনুযায়ী, অস্বাভাবিক কনফিগারেশনে সমস্যা হলে তীব্রতার মাত্রা কমানো হয় অথবা অনুশীলনে একটি দুর্বলতা শোষণের কম সম্ভাবনার ক্ষেত্রে। এই ক্ষেত্রে, তীব্রতার মাত্রা কমানো হয়েছে, কারণ অনেক প্ল্যাটফর্মে ব্যবহৃত স্ট্যাক ওভারফ্লো সুরক্ষা পদ্ধতি দ্বারা দুর্বলতার শোষণকে অবরুদ্ধ করা হয়েছে।
CVE-2022-3602-এর পূর্ববর্তী ঘোষণাগুলি এই সমস্যাটিকে CRITICAL হিসাবে বর্ণনা করেছে৷ উপরে উল্লিখিত কিছু প্রশমিত কারণের উপর ভিত্তি করে অতিরিক্ত বিশ্লেষণের ফলে এটিকে উচ্চ-এ নামিয়ে আনা হয়েছে।
ব্যবহারকারীদের এখনও যত তাড়াতাড়ি সম্ভব একটি নতুন সংস্করণে আপডেট করার জন্য উত্সাহিত করা হয়। একটি TLS ক্লায়েন্টে, এটি একটি দূষিত সার্ভারের সাথে সংযোগ করে ট্রিগার করা যেতে পারে। একটি TLS সার্ভারে, সার্ভার ক্লায়েন্ট প্রমাণীকরণের অনুরোধ করলে এবং একটি দূষিত ক্লায়েন্ট সংযোগ করলে এটি ট্রিগার হতে পারে। OpenSSL সংস্করণ 3.0.0 থেকে 3.0.6 এই সমস্যার জন্য ঝুঁকিপূর্ণ। OpenSSL 3.0 ব্যবহারকারীদের OpenSSL 3.0.7 এ আপগ্রেড করা উচিত।
চিহ্নিত সমস্যাগুলির নিম্নলিখিত উল্লেখ করা হয়:
জন্য CVE-2022-3602- প্রাথমিকভাবে সমালোচনামূলক হিসাবে রিপোর্ট করা হয়েছে, একটি X.4 শংসাপত্রে একটি বিশেষভাবে তৈরি ইমেল ঠিকানা ক্ষেত্র যাচাই করার সময় একটি দুর্বলতা একটি 509-বাইট বাফার ওভারফ্লো সৃষ্টি করে৷ একটি TLS ক্লায়েন্টে, আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি সার্ভারের সাথে সংযোগ করে দুর্বলতা শোষণ করা যেতে পারে. একটি TLS সার্ভারে, শংসাপত্র ব্যবহার করে ক্লায়েন্ট প্রমাণীকরণ ব্যবহার করা হলে দুর্বলতা কাজে লাগানো যেতে পারে। এই ক্ষেত্রে, শংসাপত্রের সাথে যুক্ত বিশ্বাসের শৃঙ্খল যাচাই করার পরে দুর্বলতা নিজেকে প্রকাশ করে, অর্থাৎ, আক্রমণের জন্য শংসাপত্র কর্তৃপক্ষকে আক্রমণকারীর দূষিত শংসাপত্রকে যাচাই করতে হবে।
জন্য CVE-2022-3786: এটি সমস্যা বিশ্লেষণের সময় চিহ্নিত CVE-2022-3602 দুর্বলতার শোষণের আরেকটি ভেক্টর। পার্থক্যগুলি নির্বিচারে বাইটের সংখ্যা দ্বারা স্ট্যাক বাফারকে উপচে পড়ার সম্ভাবনায় ফুটিয়ে তোলে। "." অক্ষর ধারণ করে। সমস্যাটি একটি অ্যাপ ক্র্যাশ করতে ব্যবহার করা যেতে পারে।
দুর্বলতাগুলি শুধুমাত্র OpenSSL 3.0.x শাখায় প্রদর্শিত হয়, OpenSSL সংস্করণ 1.1.1, সেইসাথে OpenSSL থেকে প্রাপ্ত LibreSSL এবং BoringSSL লাইব্রেরি, সমস্যা দ্বারা প্রভাবিত হয় না। একই সময়ে, OpenSSL 1.1.1s-এর একটি আপডেট প্রকাশ করা হয়েছে, যেখানে শুধুমাত্র অ-নিরাপত্তা বাগ সংশোধন করা হয়েছে।
OpenSSL 3.0 শাখাটি Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable এর মতো বিতরণ দ্বারা ব্যবহৃত হয়। এই সিস্টেমগুলির ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব আপডেটগুলি ইনস্টল করার পরামর্শ দেওয়া হচ্ছে (ডেবিয়ান, উবুন্টু, RHEL, SUSE/openSUSE, Fedora, Arch)।
SUSE Linux Enterprise 15 SP4 এবং openSUSE Leap 15.4-এ, OpenSSL 3.0 সহ প্যাকেজগুলি একটি বিকল্প হিসাবে উপলব্ধ, সিস্টেম প্যাকেজগুলি 1.1.1 শাখা ব্যবহার করে। Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16, এবং FreeBSD OpenSSL 1.x শাখায় রয়ে গেছে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.