බෆර පිටාර ගැලීමේ ගැටලුවක් විසඳීමට OpenSSL 3.0.7 පැමිණේ 

OpenSSL_ලාංඡනය

OpenSSL යනු SSleay මත පදනම් වූ නිදහස් මෘදුකාංග ව්‍යාපෘතියකි. 

පිළිබඳව තොරතුරු නිකුත් විය හි නිවැරදි කිරීමේ අනුවාදයක් නිකුත් කිරීම crypto පුස්තකාලය OpenSSL 3.0.7, දුර්වලතා දෙකක් නිවැරදි කරයිමෙම නිවැරදි කිරීමේ අනුවාදය නිකුත් කළේ කුමන සහ ඇයිද යන්නයි X.509 සහතික වලංගු කිරීමේදී භාවිතා කරන බෆර පිටාර ගැලීම මගින්.

එය සඳහන් කිරීම වටී ගැටළු දෙකම බෆරය පිටාර ගැලීම නිසා ඇතිවේ X.509 සහතිකවල විද්‍යුත් තැපැල් ලිපින ක්ෂේත්‍රය වලංගු කිරීමට කේතයේ සහ විශේෂයෙන් සැකසූ සහතිකයක් සැකසීමේදී කේත ක්‍රියාත්මක වීමට හේතු විය හැක.

නිවැරදි කිරීම නිකුත් කරන අවස්ථාවේදී, OpenSSL සංවර්ධකයින් විසින් ප්‍රහාරකයාගේ කේතය ක්‍රියාත්මක කිරීමට තුඩු දිය හැකි ක්‍රියාකාරී සූරාකෑමක පැවැත්මක් වාර්තා කර නොතිබුණි.

සේවාදායකයන් ගසාකෑමට ඉඩ ඇති අවස්ථාවක් තිබේ සේවාලාභී සහතික සාමාන්‍යයෙන් විශ්වාසදායක CA විසින් අත්සන් කිරීමට අවශ්‍ය නොවන බැවින්, CA අත්සන් කිරීමේ අවශ්‍යතා මඟ හැරිය හැකි TLS සේවාදායක සත්‍යාපනය හරහා. සේවාලාභී සත්‍යාපනය දුර්ලභ වන අතර බොහෝ සේවාදායකයන් එය සක්‍රීය කර නොමැති බැවින්, සේවාදායකය සූරාකෑම අඩු අවදානමක් විය යුතුය.

ප්රහාරකයන් සේවාදායකයා අනිෂ්ට TLS සේවාදායකයක් වෙත යොමු කිරීමෙන් මෙම අවදානම ප්‍රයෝජනයට ගත හැකිය අවදානම අවුලුවාලීම සඳහා විශේෂයෙන් සකස් කරන ලද සහතිකයක් භාවිතා කරයි.

නව නිකුතුව සඳහා වන පූර්ව නිකුතුවේ නිවේදනයේ තීරනාත්මක ගැටළුවක් සඳහන් වුවද, ඇත්ත වශයෙන්ම, නිකුත් කරන ලද යාවත්කාලීනයේදී, අවදානම් තත්ත්වය භයානක ලෙස පහත හෙළන ලද නමුත් විවේචනාත්මක නොවේ.

ව්යාපෘතියේ සම්මත කර ඇති නීතිවලට අනුව, ද අසාමාන්‍ය වින්‍යාසයන්හි ගැටලුවක් ඇති වූ විට බරපතල මට්ටම අඩු වේ හෝ ප්‍රායෝගිකව අවදානමක් සූරාකෑමේ අඩු සම්භාවිතාවකදී. මෙම අවස්ථාවෙහිදී, බොහෝ වේදිකා වල භාවිතා කරන ස්ටැක් පිටාර ගැලීම් ආරක්ෂණ යාන්ත්‍රණයන් මගින් අවදානම සූරාකෑම අවහිර කර ඇති බැවින්, බරපතල මට්ටම අඩු කර ඇත.

CVE-2022-3602 හි පෙර නිවේදන මෙම ගැටලුව විවේචනාත්මක ලෙස විස්තර කර ඇත. ඉහත දක්වා ඇති සමහර අවම කිරීමේ සාධක මත පදනම් වූ අතිරේක විශ්ලේෂණය මෙය HIGH දක්වා පහත හෙලීමට හේතු වී ඇත.

හැකි ඉක්මනින් නව අනුවාදයකට යාවත්කාලීන කිරීමට පරිශීලකයින් තවමත් දිරිමත් කරනු ලැබේ. TLS සේවාලාභියෙකු මත, මෙය අනිෂ්ට සේවාදායකයකට සම්බන්ධ කිරීමෙන් ක්‍රියාරම්භ කළ හැක. TLS සේවාදායකයක, සේවාදායකය සේවාදායකයා සත්‍යාපනය ඉල්ලා සිටින්නේ නම් සහ අනිෂ්ට සේවාලාභියෙකු සම්බන්ධ වුවහොත් මෙය ක්‍රියාරම්භ කළ හැක. OpenSSL අනුවාද 3.0.0 සිට 3.0.6 දක්වා මෙම ගැටලුවට ගොදුරු විය හැක. OpenSSL 3.0 භාවිතා කරන්නන් OpenSSL 3.0.7 වෙත උත්ශ්‍රේණි කළ යුතුය.

හඳුනාගත් ගැටළු වලින් පහත සඳහන් කර ඇත:

CVE-2022-3602- මුලදී තීරනාත්මක ලෙස වාර්තා කරන ලද, X.4 සහතිකය තුළ විශේෂයෙන් සකසන ලද විද්‍යුත් තැපැල් ලිපින ක්ෂේත්‍රයක් සත්‍යාපනය කිරීමේදී අවදානමක් 509-බයිට් බෆරයක් පිටාර ගැලීමට හේතු වේ. TLS සේවාලාභියෙකු මත, ප්‍රහාරකයා විසින් පාලනය කරනු ලබන සේවාදායකයකට සම්බන්ධ වීමෙන් අවදානම ප්‍රයෝජනයට ගත හැක.. TLS සේවාදායකයක, සහතික භාවිතයෙන් සේවාලාභී සත්‍යාපනය භාවිතා කරන්නේ නම්, අවදානම ප්‍රයෝජනයට ගත හැක. මෙම අවස්ථාවෙහිදී, සහතිකය හා සම්බන්ධ විශ්වාස දාමය සත්‍යාපනය කිරීමෙන් පසු අවදානම් තත්ත්වය පෙන්නුම් කරයි, එනම් ප්‍රහාරයට ප්‍රහාරකයාගේ අනිෂ්ට සහතිකය වලංගු කිරීමට සහතික කිරීමේ අධිකාරිය අවශ්‍ය වේ.

CVE-2022-3786: එය ගැටලුව විශ්ලේෂණය කිරීමේදී හඳුනාගත් අවදානම් CVE-2022-3602 සූරාකෑමේ තවත් දෛශිකයකි. අත්තනෝමතික බයිට් ගණනකින් ස්ටැක් බෆරය පිටාර ගැලීමේ හැකියාව දක්වා වෙනස්කම් අඩු වේ. "" අක්ෂරය අඩංගු වේ. යෙදුමක් බිඳ වැටීමට මෙම ගැටළුව භාවිතා කළ හැක.

දුර්වලතා දිස්වන්නේ OpenSSL 3.0.x ශාඛාවේ පමණි, OpenSSL අනුවාද 1.1.1, මෙන්ම OpenSSL වෙතින් ව්‍යුත්පන්න වූ LibreSSL සහ BoringSSL පුස්තකාල, ගැටලුවට බලපාන්නේ නැත. ඒ සමගම, OpenSSL 1.1.1s වෙත යාවත්කාලීනයක් නිකුත් කරන ලද අතර, ආරක්ෂිත නොවන දෝෂ නිවැරදි කිරීම් පමණක් අඩංගු විය.

OpenSSL 3.0 ශාඛාව Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Unstable වැනි බෙදාහැරීම් මගින් භාවිතා වේ. මෙම පද්ධති භාවිතා කරන්නන් හැකි ඉක්මනින් යාවත්කාලීන ස්ථාපනය කිරීමට නිර්දේශ කරනු ලැබේ (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).

SUSE Linux Enterprise 15 SP4 සහ openSUSE Leap 15.4 හි OpenSSL 3.0 සහිත පැකේජ විකල්පයක් ලෙස පවතී, පද්ධති පැකේජ 1.1.1 ශාඛාව භාවිතා කරයි. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16, සහ FreeBSD OpenSSL 1.x ශාඛා වල පවතී.

අවසානයේ ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට කැමති නම්, ඔබට විස්තර පරීක්ෂා කළ හැකිය පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.