OpenSSL Projesi, açık kaynak şifreleme araç setinde kullanıcıları kötü niyetli saldırılara maruz bırakabilecek yüksek önem dereceli bir hata da dahil olmak üzere çeşitli güvenlik kusurlarını gidermek için düzeltmeler yayınladı.
şu şekilde izlendi: CVE-2023-0286sorun, bir rakibin “bellek içeriğini okumasına veya bir hizmet reddi gerçekleştirmesine” izin verebilecek bir tür karışıklığı durumuyla ilgilidir, bakımcılar bir danışma belgesinde söyledi.
Güvenlik açığı, popüler şifreleme kitaplığının X.509 sertifikalarını işleme biçiminden kaynaklanmaktadır ve büyük olasılıkla yalnızca bir sertifika iptal listesi almak için özel bir uygulamaya sahip uygulamaları etkileyecektir (SİL) bir ağ üzerinden.
OpenSSL, “Çoğu durumda saldırı, saldırganın hem sertifika zincirini hem de CRL’yi sağlamasını gerektirir, bunların hiçbirinin geçerli bir imzası olması gerekmez.” söz konusu. “Saldırgan bu girişlerden yalnızca birini kontrol ediyorsa, diğer girişin CRL dağıtım noktası olarak zaten bir X.400 adresi içermesi gerekir ki bu çok yaygın olmayan bir durumdur.”
Tip karışıklığı kusurları olabilir ciddi sonuçlarprogramı kasıtlı olarak istenmeyen şekillerde davranmaya zorlamak ve muhtemelen bir çökmeye veya kod yürütülmesine neden olmak için silah haline getirilebilecekleri için.
Sorun, OpenSSL 3.0.8, 1.1.1t ve 1.0.2zg sürümlerinde yamalanmıştır. Diğer güvenlik açıkları ele alinan son güncellemelerin bir parçası olarak şunları içerir:
- CVE-2022-4203 – X.509 Ad Kısıtlamaları Okuma Arabellek Taşması
- CVE-2022-4304 – Oracle’ı RSA Şifre Çözmede Zamanlama
- CVE-2022-4450 – PEM_read_bio_ex’i aradıktan sonra iki kat ücretsiz
- CVE-2023-0215 – BIO_new_NDEF’i takip ettikten sonra ücretsiz kullanın
- CVE-2023-0216 – d2i_PKCS7 işlevlerinde geçersiz işaretçi başvurusu
- CVE-2023-0217 – DSA genel anahtarını doğrulayan NULL başvuru
- CVE-2023-0401 – PKCS7 veri doğrulaması sırasında NULL başvuru
Yukarıdaki eksikliklerin başarılı bir şekilde kullanılması, bir uygulamanın çökmesine, bellek içeriğinin açığa çıkmasına ve hatta bir ağ üzerinden gönderilen düz metin mesajlarının kurtarılmasıyla sonuçlanabilir. zamanlama tabanlı yan kanal Bleichenbacher tarzı bir saldırı nedir?
Düzeltmeler, OpenSSL’nin düşük önem dereceli bir kusuru kapatmasından yaklaşık iki ay sonra gelir (CVE-2022-3996) bir X.509 sertifikası işlenirken ortaya çıkan ve hizmet reddi durumuna neden olan.