OpenSSL 3.0.7 د بفر اوور فلو ستونزې حل کولو لپاره راځي 

OpenSSL_logo

OpenSSL یو وړیا سافټویر پروژه ده چې د SSLeay پر بنسټ والړ ده. 

په اړه معلومات خپاره شول د اصلاحي نسخې خپرول د کریپټو کتابتون OpenSSL 3.0.7، کوم چې دوه زیانمننې حل کويپه کوم ډول او ولې دا اصلاحي نسخه خپره شوې ده د بفر اوور فلو لخوا د X.509 سندونو تصدیق کولو په وخت کې ګټه اخیستل کیږي.

د یادولو وړ ده دواړه ستونزې د بفر د ډیریدو له امله رامینځته کیږي په کوډ کې د X.509 سندونو کې د بریښنالیک پتې ساحې تاییدولو لپاره او کولی شي د کوډ اجرا کولو لامل شي کله چې په ځانګړي ډول جوړ شوي سند پروسس کوي.

د فکس د خوشې کولو په وخت کې، د OpenSSL پراختیا کونکو د فعال کارونې شتون راپور نه و ورکړی چې کولی شي د برید کونکي کوډ اجرا کولو المل شي.

داسې قضیه شتون لري چیرې چې سرورونه کارول کیدی شي د TLS پیرودونکي تصدیق له لارې، کوم چې کولی شي د CA لاسلیک کولو اړتیاو څخه تیر شي، ځکه چې د پیرودونکي سندونه عموما د باوري CA لخوا لاسلیک کولو ته اړتیا نلري. څرنګه چې د مراجعینو تصدیق نادر دی او ډیری سرورونه دا فعال ندي، د سرور څخه ګټه پورته کول باید ټیټ خطر وي.

برید کوونکي کولی شي د دې زیان څخه ګټه پورته کړي د پیرودونکي په لارښوونو سره ناوړه TLS سرور ته کوم چې د زیان مننې د رامینځته کولو لپاره په ځانګړي ډول جوړ شوی سند کاروي.

که څه هم د نوي خوشې کیدو دمخه اعلان یوه جدي مسله په ګوته کړه ، په حقیقت کې ، په خپاره شوي تازه کې د زیان مننې حالت خطرناک ته راټیټ شوی ، مګر مهم ندی.

په پروژه کې منل شوي مقرراتو سره سم، د په غیر معمولي تشکیلاتو کې د ستونزې په صورت کې د شدت کچه ​​ټیټه کیږي یا په عمل کې د زیان مننې د کم احتمال په صورت کې. په دې حالت کې، د شدت کچه ​​راټیټه شوې، ځکه چې د زیان مننې استخراج د سټیک اوور فلو محافظت میکانیزمونو لخوا بند شوی چې په ډیری پلیټونو کې کارول کیږي.

د CVE-2022-3602 مخکیني اعلانونو دا مسله د جدي په توګه تشریح کړې. د ځینو کمولو فکتورونو پر بنسټ اضافي تحلیل چې پورته ذکر شوي د دې لامل شوي چې دا لوړ ته ټیټ شي.

کاروونکي لاهم هڅول کیږي چې ژر تر ژره نوي نسخه ته تازه کړي. په TLS پیرودونکي کې، دا د ناوړه سرور سره وصل کیدو سره پیل کیدی شي. په TLS سرور کې، دا پیل کیدی شي که چیرې سرور د پیرودونکي تصدیق غوښتنه وکړي او یو ناوړه پیرودونکی وصل شي. د OpenSSL نسخې 3.0.0 څخه تر 3.0.6 پورې د دې مسلې لپاره زیانمنونکي دي. د OpenSSL 3.0 کاروونکي باید OpenSSL 3.0.7 ته لوړ شي.

د پیژندل شویو ستونزو څخه لاندې ذکر شوي دي:

CVE-2022-3602- په پیل کې د جدي په توګه راپور شوی، یو زیان د X.4 سند کې د ځانګړي جوړ شوي بریښنالیک پتې ساحې تصدیق کولو په وخت کې د 509-بایټ بفر اوور فلو لامل کیږي. په TLS پیرودونکي کې، زیانمنونکي د برید کونکي لخوا کنټرول شوي سرور سره وصل کولو سره کارول کیدی شي. په TLS سرور کې، زیانمنونکي ګټه پورته کیدی شي که چیرې د سندونو په کارولو سره د مراجعینو تصدیق کارول کیږي. په دې حالت کې، زیان منونکي د سند سره تړلي د باور سلسله تصدیق کولو وروسته په مرحله کې څرګندیږي، دا دی، برید د تصدیق کولو واک ته اړتیا لري ترڅو د برید کونکي ناوړه سند تصدیق کړي.

CVE-2022-3786: دا د CVE-2022-3602 د زیانمننې د استخراج یو بل ویکتور دی چې د ستونزې د تحلیل په جریان کې پیژندل شوی. توپیرونه د بایټ په خپل سري شمیره د سټیک بفر د ډیریدو احتمال ته راټیټیږي. د "." کرکټر لري. مسله د اپلیکیشن د خرابیدو لامل کیدو لپاره کارول کیدی شي.

زیانونه یوازې په OpenSSL 3.0.x څانګه کې څرګندیږي، د OpenSSL نسخه 1.1.1، او همدارنګه د LibreSSL او BoringSSL کتابتونونه چې د OpenSSL څخه اخیستل شوي، د ستونزې لخوا اغیزمن شوي ندي. په ورته وخت کې، د OpenSSL 1.1.1s ته یو تازه خپور شو، چې یوازې غیر امنیتي بګ فکسونه لري.

د OpenSSL 3.0 څانګه د توزیع لخوا کارول کیږي لکه اوبنټو 22.04، CentOS Stream 9، RHEL 9، OpenMandriva 4.2، Gentoo، Fedora 36، Debian Testing/Unstable. د دې سیسټمونو کاروونکو ته سپارښتنه کیږي چې ژر تر ژره تازه معلومات نصب کړي (Debian، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch).

په SUSE Linux Enterprise 15 SP4 او OpenSUSE Leap 15.4 کې، د OpenSSL 3.0 سره کڅوړې د اختیار په توګه شتون لري، د سیسټم کڅوړې د 1.1.1 څانګه کاروي. Debian 11، Arch Linux، Void Linux، Ubuntu 20.04، Slackware، ALT Linux، RHEL 8، OpenWrt، Alpine Linux 3.16، او FreeBSD د OpenSSL 1.x څانګو کې پاتې دي.

وروستی که تاسو د دې په اړه د نورو پوهیدو سره علاقه لرئ، تاسو کولی شئ توضیحات په لاندې لینک


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.