OpenSSL हा SSLeay वर आधारित मोफत सॉफ्टवेअर प्रकल्प आहे.
बद्दल माहिती प्रसिद्ध करण्यात आली च्या सुधारात्मक आवृत्तीचे प्रकाशन क्रिप्टो लायब्ररी OpenSSL 3.0.7, जे दोन भेद्यता निश्चित करतेही सुधारात्मक आवृत्ती कोणती आणि का प्रसिद्ध झाली आहे X.509 प्रमाणपत्रे प्रमाणित करताना बफर ओव्हरफ्लोद्वारे शोषण केले जाते.
हे उल्लेखनीय आहे दोन्ही समस्या बफर ओव्हरफ्लोमुळे होतात X.509 प्रमाणपत्रांमध्ये ईमेल पत्ता फील्ड सत्यापित करण्यासाठी कोडमध्ये आणि विशेष तयार केलेल्या प्रमाणपत्रावर प्रक्रिया करताना कोडची अंमलबजावणी होऊ शकते.
फिक्स रिलीजच्या वेळी, OpenSSL डेव्हलपर्सने फंक्शनल शोषणाच्या अस्तित्वाची तक्रार केली नव्हती ज्यामुळे आक्रमणकर्त्याच्या कोडची अंमलबजावणी होऊ शकते.
सर्व्हरचा गैरफायदा घेतला जाऊ शकतो असे एक प्रकरण आहे TLS क्लायंट प्रमाणीकरण द्वारे, जे CA स्वाक्षरी आवश्यकता बायपास करू शकते, कारण क्लायंट प्रमाणपत्रांवर विश्वासार्ह CA द्वारे स्वाक्षरी करणे आवश्यक नसते. क्लायंट प्रमाणीकरण दुर्मिळ असल्याने आणि बर्याच सर्व्हरने ते सक्षम केलेले नसल्यामुळे, सर्व्हरचे शोषण करणे कमी जोखीम असले पाहिजे.
हल्लेखोर क्लायंटला दुर्भावनापूर्ण TLS सर्व्हरकडे निर्देशित करून या भेद्यतेचा फायदा घेऊ शकतो जे असुरक्षा ट्रिगर करण्यासाठी खास तयार केलेले प्रमाणपत्र वापरते.
नवीन रिलीझसाठी प्री-रिलीझ घोषणेमध्ये गंभीर समस्येचा उल्लेख असला तरी, खरेतर, रिलीझ केलेल्या अपडेटमध्ये, असुरक्षितता स्थिती डेंजरसवर डाउनग्रेड केली गेली होती, परंतु गंभीर नाही.
प्रकल्पात स्वीकारलेल्या नियमांनुसार, द अॅटिपिकल कॉन्फिगरेशनमध्ये समस्या असल्यास तीव्रता पातळी कमी केली जाते किंवा व्यवहारात असुरक्षिततेचे शोषण करण्याची शक्यता कमी असल्यास. या प्रकरणात, तीव्रता पातळी कमी केली गेली आहे, कारण अनेक प्लॅटफॉर्मवर वापरल्या जाणार्या स्टॅक ओव्हरफ्लो संरक्षण यंत्रणेद्वारे असुरक्षिततेचे शोषण अवरोधित केले आहे.
CVE-2022-3602 च्या मागील घोषणांनी या समस्येचे गंभीर म्हणून वर्णन केले आहे. वर वर्णन केलेल्या काही कमी करणार्या घटकांवर आधारित अतिरिक्त विश्लेषणामुळे हे उच्च वर खाली केले गेले आहे.
वापरकर्त्यांना अद्याप शक्य तितक्या लवकर नवीन आवृत्तीवर अद्यतनित करण्यासाठी प्रोत्साहित केले जाते. TLS क्लायंटवर, हे दुर्भावनापूर्ण सर्व्हरशी कनेक्ट करून ट्रिगर केले जाऊ शकते. TLS सर्व्हरवर, सर्व्हरने क्लायंट प्रमाणीकरणाची विनंती केल्यास आणि दुर्भावनायुक्त क्लायंट कनेक्ट झाल्यास हे ट्रिगर केले जाऊ शकते. OpenSSL आवृत्त्या 3.0.0 ते 3.0.6 या समस्येसाठी असुरक्षित आहेत. OpenSSL 3.0 वापरकर्त्यांनी OpenSSL 3.0.7 वर अपग्रेड केले पाहिजे.
ओळखलेल्या समस्यांपैकी खालील उल्लेख आहे:
सीव्हीई- 2022-3602- सुरुवातीला गंभीर म्हणून नोंदवले गेले, X.4 प्रमाणपत्रामध्ये खास तयार केलेल्या ईमेल अॅड्रेस फील्डची पडताळणी करताना भेद्यतेमुळे 509-बाइट बफर ओव्हरफ्लो होतो. TLS क्लायंटवर, आक्रमणकर्त्याद्वारे नियंत्रित सर्व्हरशी कनेक्ट करून भेद्यतेचा फायदा घेतला जाऊ शकतो.. TLS सर्व्हरवर, प्रमाणपत्रे वापरून क्लायंट प्रमाणीकरण वापरल्यास असुरक्षिततेचा फायदा घेतला जाऊ शकतो. या प्रकरणात, असुरक्षा प्रमाणपत्राशी संबंधित विश्वासाच्या साखळीच्या पडताळणीनंतर स्टेजमध्ये स्वतः प्रकट होते, म्हणजेच, आक्रमणास आक्रमणकर्त्याचे दुर्भावनापूर्ण प्रमाणपत्र प्रमाणित करण्यासाठी प्रमाणन प्राधिकरणाची आवश्यकता असते.
सीव्हीई- 2022-3786: समस्येच्या विश्लेषणादरम्यान ओळखल्या गेलेल्या CVE-2022-3602 असुरक्षिततेच्या शोषणाचा हा आणखी एक वेक्टर आहे. बाइट्सच्या अनियंत्रित संख्येने स्टॅक बफर ओव्हरफ्लो होण्याच्या शक्यतेपर्यंत फरक उकळतात. "." वर्ण असलेले. अॅप क्रॅश होण्यासाठी समस्या वापरली जाऊ शकते.
भेद्यता फक्त OpenSSL 3.0.x शाखेत दिसून येते, OpenSSL आवृत्त्या 1.1.1, तसेच OpenSSL वरून घेतलेल्या LibreSSL आणि BoringSSL लायब्ररी, या समस्येमुळे प्रभावित होत नाहीत. त्याच वेळी, OpenSSL 1.1.1s चे अपडेट रिलीझ केले गेले, ज्यामध्ये फक्त गैर-सुरक्षा बग निराकरणे आहेत.
OpenSSL 3.0 शाखा Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/unstable सारख्या वितरणांद्वारे वापरली जाते. या प्रणालींच्या वापरकर्त्यांना शक्य तितक्या लवकर अद्यतने स्थापित करण्याची शिफारस केली जाते (डेबियन, उबंटू, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4 आणि openSUSE Leap 15.4 मध्ये, OpenSSL 3.0 सह पॅकेजेस पर्याय म्हणून उपलब्ध आहेत, सिस्टम पॅकेजेस 1.1.1 शाखा वापरतात. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16, आणि FreeBSD हे OpenSSL 1.x शाखांमध्ये राहतील.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.