OpenSSL 3.0.8 பல பாதுகாப்பு பிழை திருத்தங்களுடன் வருகிறது

OpenSSL_logo

OpenSSL என்பது SSleay ஐ அடிப்படையாகக் கொண்ட ஒரு இலவச மென்பொருள் திட்டமாகும். இது கிரிப்டோகிராஃபி தொடர்பான நூலகங்கள் மற்றும் நிர்வாகக் கருவிகளின் வலுவான தொகுப்பைக் கொண்டுள்ளது, இது OpenSSH மற்றும் இணைய உலாவிகள் போன்ற பிற தொகுப்புகளுக்கு கிரிப்டோகிராஃபிக் செயல்பாடுகளை வழங்குகிறது.

இது அறிவிக்கப்பட்டது OpenSSL இன் புதிய திருத்த பதிப்புகளின் வெளியீடு (3.0.8 , 1.1.1t ) இதில் ஆபத்தான பாதிப்பை சரிசெய்தது (CVE-2023-0286) தாக்குபவரின் சான்றிதழ் திரும்பப்பெறுதல் பட்டியல் (CRL) அல்லது நேர முத்திரையிடப்பட்ட டோக்கன் மூலம் கட்டுப்படுத்தப்படும் செயல்முறையை செயலாக்கும்போது, ​​செயல்முறை நினைவகத்தின் தன்னிச்சையான பகுதிகளின் உள்ளடக்கங்களைப் பெற அனுமதிக்கிறது.

பாதிப்பு வகை குழப்பத்தால் ஏற்படுகிறது X.400 GeneralName நீட்டிப்பில் X.509 முகவரியைச் செயலாக்கும் போது.

குறிப்பாக, X.400 முகவரி ASN1_STRING வகையுடன் பாகுபடுத்தப்பட்டது, அதே நேரத்தில் GENERAL_NAME கட்டமைப்பில் உள்ள x400Address புலம் ASN1_TYPE வகையுடன் பாகுபடுத்தப்பட்டது, இதன் விளைவாக ASN1_STRINGக்கு பதிலாக ASN1_TYPE உடன் ஒப்பிடப்பட்டது (GENERAL_NAME_cmp). சான்றிதழ் திரும்பப்பெறுதல் பட்டியல் சரிபார்ப்பு இயக்கப்படும் போது (பயன்பாட்டில் X509_V_FLAG_CRL_CHECK கொடியை அமைப்பதன் மூலம்), பாதிப்பு தாக்குபவரை memcmp செயல்பாட்டிற்கு தன்னிச்சையான சுட்டிகளை அனுப்ப அனுமதிக்கிறது. .

பெரும்பாலான சூழ்நிலைகளில், சான்றிதழைத் திரும்பப்பெறுதல் பட்டியலின் மீது தாக்குபவர் கட்டுப்பாட்டைக் கொண்டிருக்க வேண்டும் (CRL) பயன்படுத்தப்பட்டது மற்றும் ஒரு வெற்றிகரமான தாக்குதலை மேற்கொள்ள சான்றிதழின் நம்பிக்கைச் சங்கிலி.

குறிப்பிடப்பட்ட கூறுகளில் ஒன்றைக் கட்டுப்படுத்தும் சந்தர்ப்பத்திலும் தாக்குதல் நடத்தப்படலாம், ஆனால் இந்த வழக்கில், X.400 முகவரி CRL விநியோக புள்ளியாகத் தோன்ற வேண்டும், இது மிகவும் அரிதானது. இந்த அர்த்தத்தில், நெட்வொர்க்கில் CRL பதிவிறக்க செயல்பாட்டை தங்கள் சொந்த செயல்படுத்தலைப் பயன்படுத்தும் பயன்பாடுகளை இந்த பாதிப்பு முக்கியமாக பாதிக்கிறது என்று கருதப்படுகிறது.

விவாதிக்கப்பட்ட பிரச்சனைக்கு கூடுதலாக, OpenSSL 3.0.8 பல பாதிப்புகளையும் சரி செய்கிறது குறைவான ஆபத்தானது:

  • சி.வி.இ -2022-4304: PKCS#1 v1.5, RSA-OEAP, மற்றும் RSASVE அதிகரிக்கும் பரப்புதல் முறைகளைப் பயன்படுத்தி RSA செயல்பாடுகளைச் செயல்படுத்தும் போது நெட்வொர்க் தாமதங்களை அளவிடுவதன் மூலம் மூலத் தரவைத் தீர்மானிக்க அனுமதிக்கும் பக்க-சேனல் தாக்குதல் ஆகும். தாக்குதல் என்பது Bleichenbacher முறையின் மாறுபாடாகும், இதன் சாராம்சம் என்னவென்றால், தாக்குபவர், சேவையகத்திலிருந்து வேறுபட்ட எதிர்வினையின் அடிப்படையில், பிளாக் எல்லையில் மறைகுறியாக்கப்பட்ட தரவை சீரமைக்கப் பயன்படுத்தப்படும் சரியான மற்றும் தவறான திணிப்பு ஆரக்கிள் தொகுதிகளைப் பிரிக்க முடியும். ஒரு வெற்றிகரமான தாக்குதலுக்கு டிக்ரிப்ஷனுக்காக அதிக எண்ணிக்கையிலான ஆய்வு செய்திகளை அனுப்ப வேண்டும்.
    நடைமுறையில், எடுத்துக்காட்டாக, ஒரு TLS இணைப்பின் முதன்மை ரகசியத்தைத் தீர்மானிக்க ஒரு தாக்குதலைப் பயன்படுத்தலாம், இது கிளையன்ட் மறைகுறியாக்கப்பட்ட வடிவத்தில் சேவையகத்திற்கு அனுப்புகிறது. கிளையன்ட் மற்றும் சர்வர் இடையே உள்ள தொடர்பை இடைமறிக்கும் திறன் கொண்ட ஒரு தாக்குபவர், சர்வருக்கு அதிக எண்ணிக்கையிலான சோதனை செய்திகளை அனுப்புவதன் மூலமும், அவற்றின் செயலாக்க நேரத்தை பகுப்பாய்வு செய்வதன் மூலமும் முதன்மை ரகசியத்தின் மதிப்பை மீட்டெடுக்க முடியும். முதன்மை ரகசியம் தீர்மானிக்கப்பட்டதும், தாக்குபவர் கேள்விக்குரிய TLS இணைப்பு வழியாக அனுப்பப்பட்ட தரவை மறைகுறியாக்க முடியும்.
  • சி.வி.இ -2022-4203: தனிப்பயன் பெயர் புலத்துடன் X.509 சான்றிதழ்களைச் சரிபார்க்கும் போது, ​​இடையகத்தைப் படிக்கவும். தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் இணைக்கப்பட்டால், அல்லது தாக்குபவரால் கட்டுப்படுத்தப்பட்ட கிளையண்டிடம் இருந்து சர்வர் அங்கீகாரத்தைக் கோரினால், கிளையன்ட் பக்கத்தில் உள்ள செயலியின் நினைவக உள்ளடக்கங்களை அட்டாக் செயலிழக்கச் செய்யலாம் அல்லது செயலிழக்கச் செய்யலாம்.
  • சி.வி.இ -2023-0216: சிறப்பாக வடிவமைக்கப்பட்ட PKCS2 தரவைக் கையாளும் போது d7i_PKCS2(), d7i_PKCS2_bio() மற்றும் d7i_PKCS7_fp() செயல்பாடுகளில் தவறான சுட்டிக் குறிப்பு இல்லை. பாதிப்பு செயல்முறை செயலிழக்க காரணமாக இருக்கலாம்.
  • சி.வி.இ -2023-0217: EVP_PKEY_public_check() செயல்பாட்டில் DSA பொது விசையை சரிபார்க்கும் போது NULL சுட்டி குறிப்பு.
  • சி.வி.இ -2023-0215: BIO_new_NDEF செயல்பாட்டில் உள்ள நினைவகப் பகுதிக்கான பயன்பாட்டுக்குப் பின்-இலவச அணுகல், BIO இடைமுகம் வழியாக ASN.1 தரவை அனுப்பப் பயன்படுகிறது.
  • சி.வி.இ -2022-4450: PEM_read_bio_ex செயல்பாட்டை அழைத்த பிறகு நினைவகத்தை இரட்டிப்பாக்குகிறது.
  • சி.வி.இ -2023-0401: PKCS7 தரவைச் சரிபார்க்கும்போது NULL சுட்டிக் குறிப்பு.

கடைசி 4 பாதிப்புகளில், அவை அசாதாரண செயல்முறையை நிறுத்தும் திறனுக்கு மட்டுப்படுத்தப்பட்டவை என்று கருதப்படுகிறது.

இறுதியாக, இந்தப் புதிய பதிப்பைப் பற்றி மேலும் அறிய நீங்கள் ஆர்வமாக இருந்தால், நீங்கள் விவரங்களைச் சரிபார்க்கலாம் பின்வரும் இணைப்பு.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.