OpenSSL, SSLeay tabanlı ücretsiz bir yazılım projesidir.
hakkında bilgi verildi düzeltici bir sürümünün yayınlanması kripto kitaplığı İki güvenlik açığını gideren OpenSSL 3.0.7bu düzeltici sürümün hangi ve neden yayınlandığı X.509 sertifikaları doğrulanırken yararlanılan arabellek taşması tarafından.
Bahsetmeye değer her iki sorun da arabellek taşmasından kaynaklanır X.509 sertifikalarındaki e-posta adresi alanını doğrulamak için kodda bulunur ve özel hazırlanmış bir sertifika işlenirken kod yürütülmesine neden olabilir.
Düzeltmenin yayınlandığı tarihte, OpenSSL geliştiricileri, saldırganın kodunun yürütülmesine yol açabilecek işlevsel bir istismarın varlığını bildirmemişlerdi.
Sunucuların istismar edilebileceği bir durum var istemci sertifikalarının genellikle güvenilir bir CA tarafından imzalanması gerekmediğinden, CA imzalama gereksinimlerini atlayabilen TLS istemci kimlik doğrulaması yoluyla. İstemci kimlik doğrulaması nadir olduğundan ve çoğu sunucuda etkinleştirilmediğinden, sunucudan yararlanmak düşük riskli olmalıdır.
saldırganlar istemciyi kötü amaçlı bir TLS sunucusuna yönlendirerek bu güvenlik açığından yararlanabilir. Bu, güvenlik açığını tetiklemek için özel olarak hazırlanmış bir sertifika kullanır.
Yeni sürüm için yayın öncesi duyuruda kritik bir sorundan bahsedilse de aslında yayınlanan güncellemede güvenlik açığı durumu Tehlikeli'ye düşürüldü, ancak Kritik değil.
Projede kabul edilen kurallara göre, atipik konfigürasyonlarda bir sorun olması durumunda önem seviyesi düşürülür veya uygulamada bir güvenlik açığından yararlanma olasılığının düşük olması durumunda. Bu durumda, güvenlik açığından yararlanılması birçok platformda kullanılan yığın taşması koruma mekanizmaları tarafından engellendiğinden önem düzeyi düşürülmüştür.
CVE-2022-3602'nin önceki duyuruları bu sorunu KRİTİK olarak tanımlıyordu. Yukarıda özetlenen hafifletici faktörlerin bazılarına dayanan ek analiz, bunun YÜKSEK'e düşürülmesine yol açmıştır.
Kullanıcıların yine de mümkün olan en kısa sürede yeni bir sürüme güncelleme yapmaları önerilir. Bir TLS istemcisinde bu, kötü amaçlı bir sunucuya bağlanarak tetiklenebilir. TLS sunucusunda, sunucu istemci kimlik doğrulaması isterse ve kötü niyetli bir istemci bağlanırsa bu tetiklenebilir. OpenSSL 3.0.0 ila 3.0.6 sürümleri bu soruna karşı savunmasızdır. OpenSSL 3.0 kullanıcıları OpenSSL 3.0.7'ye yükseltme yapmalıdır.
belirlenen sorunlardan şunlardan bahsedilmektedir:
CVE-2022-3602- Başlangıçta kritik olarak bildirilen bir güvenlik açığı, bir X.4 sertifikasındaki özel hazırlanmış bir e-posta adresi alanını doğrularken 509 baytlık bir arabellek taşmasına neden olur. Bir TLS istemcisinde, saldırgan tarafından kontrol edilen bir sunucuya bağlanarak güvenlik açığından yararlanılabilir.. TLS sunucusunda, sertifikalar kullanılarak istemci kimlik doğrulaması kullanılıyorsa güvenlik açığından yararlanılabilir. Bu durumda güvenlik açığı, sertifikayla ilişkili güven zincirinin doğrulanmasından sonraki aşamada kendini gösterir, yani saldırı, sertifika yetkilisinin saldırganın kötü niyetli sertifikasını doğrulamasını gerektirir.
CVE-2022-3786: Sorunun analizi sırasında tespit edilen CVE-2022-3602 güvenlik açığından yararlanmanın başka bir vektörüdür. Farklar, yığın arabelleğini rastgele sayıda baytla taşma olasılığına kadar kaynar. "." karakterini içeren. Sorun, bir uygulamanın çökmesine neden olmak için kullanılabilir.
Güvenlik açıkları yalnızca OpenSSL 3.0.x dalında görünüyor, OpenSSL 1.1.1 sürümleri ve OpenSSL'den türetilen LibreSSL ve BoringSSL kitaplıkları bu sorundan etkilenmez. Aynı zamanda, yalnızca güvenlikle ilgili olmayan hata düzeltmelerini içeren bir OpenSSL 1.1.1s güncellemesi yayınlandı.
OpenSSL 3.0 dalı, Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable gibi dağıtımlar tarafından kullanılır. Bu sistemlerin kullanıcılarının güncellemeleri mümkün olan en kısa sürede yüklemeleri önerilir (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4 ve openSUSE Leap 15.4'te, OpenSSL 3.0 içeren paketler bir seçenek olarak mevcuttur, sistem paketleri 1.1.1 dalını kullanır. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ve FreeBSD, OpenSSL 1.x dallarında kalır.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntılarını kontrol edebilirsiniz. aşağıdaki bağlantı.