Giriş
OpenSSL, belirli sürümlerinde kritik bir zafiyet tespit edildiğini duyurmamış ve CVE kodu atamamıştır. Bu durum, siber güvenlik alanında ciddi tehditler oluşturabilir ve kullanıcıların önemle dikkat etmesi gereken konular arasındadır.
Saldırı Nasıl Çalışıyor?
OpenSSL, HollowByte adı verilen bir zafiyet ile karşı karşıya kalmıştır. Bu sorun, sunucuya gelen bir TLS el sıkışması mesajında, 4 baytlık başlık içermektedir. Bu başlık, iletilecek verinin boyutunu belirlerken, yazılımın, henüz veri gelmeden zaten belirtilen boyutta hafıza ayırmasıdır. Örneğin, bir inbound ClientHello mesajı için bu boyut 131 KB olabilir. Sunucu, gelmesi beklenen veriyi beklerken, hafıza bloke olur. Bu durumda herhangi bir kimlik doğrulama ya da oturum açma süreci gerçekleşmez.
Etkilenen Sistemler
- OpenSSL sürümleri: 4.0.1, 3.6.3, 3.5.7, 3.4.6 ve 3.0.21
- Hafıza tüketecek zafiyetin bulunduğu versiyonlar, 9 Haziran tarihinde kaynak kodu güncellenmeden önceki sürümlerdir.
Hafızanın Geri Dönmemesi
Bu durum, yalnızca bir bağlantı bitirme saldırısı değil, aynı zamanda sistem bellek yönetimini de etkileyen bir durumdur. Saldırgan bağlantıyı kestiğinde, OpenSSL tamponu serbest bırakır; ancak gözlemlenen durum, glibc tarafından tam bellek serbest bırakılmamaktadır. Okta’nın testlerinde, bir sunucu 547 MB bellekle aşırı yüklenirken, başka bir sunucu %25 sistem belleğini bloke etti. Yani standart bağlantı sınırlama önlemleri bu durumu engelleyememektedir.
Çözüm ve Korunma
OpenSSL, bu durumu bir güvenlik açığı olarak sınıflandırmamış ve herhangi bir CVE numarası veya yayın notu yayınlamamıştır. Kullanıcıların aşağıdaki adımları izlemeleri önerilmektedir:
- Güncellemeleri kontrol edin: OpenSSL sürümünüzü 4.0.1, 3.6.3, 3.5.7, 3.4.6 veya 3.0.21 sürümlerine güncelleyin.
- Portları kapatmayı düşünün: Gerekmediğinde açık bıraktığınız portları kapatın.
- Güvenlik politikalarını gözden geçirin: Kullanıcı erişimlerini kontrol edin ve sisteminizi korumak için güvenlik yazılımlarını güncelleyin.
Sonuç
Kullanıcıların, söz konusu zafiyetlere karşı duyarlı olmaları ve güncellemelerini yapmaları büyük önem arz etmektedir. Ayrıca, OpenSSL projeleri ile ilgili güncellemeleri sürekli takip etmek, sistemlerinizi korumak için kritik bir yaklaşım olacaktır.


