OpenSSL projesi, yaygın olarak kullanılan kriptografi kitaplığında hizmet reddi (DoS) ve uzaktan kod yürütülmesine neden olabilecek iki yüksek önemdeki kusuru içerecek şekilde düzeltmeler yaptı.
olarak takip edilen sorunlar CVE-2022-3602 ve CVE-2022-3786özel hazırlanmış bir e-posta adresi sağlayarak X.509 sertifika doğrulaması sırasında tetiklenebilen arabellek taşması güvenlik açıkları olarak tanımlanmıştır.
OpenSSL, CVE-2022-3786 için bir danışma belgesinde “Bir TLS istemcisinde bu, kötü amaçlı bir sunucuya bağlanarak tetiklenebilir” dedi. “Bir TLS sunucusunda, sunucu istemci kimlik doğrulaması isterse ve kötü niyetli bir istemci bağlanırsa bu tetiklenebilir.”
OpenSSL, güvenli iletişim için kullanılan SSL ve TLS protokollerinin açık kaynaklı bir uygulamasıdır ve çeşitli işletim sistemlerinde ve çok çeşitli yazılımlarda pişirilir.
Kitaplığın 3.0.0 ila 3.0.6 sürümleri, 3.0.7 sürümünde düzeltilen yeni kusurlardan etkilenir. Yaygın olarak dağıtılan OpenSSL 1.x sürümlerinin savunmasız olmadığını belirtmekte fayda var.
Tarafından paylaşılan veri başına Censy’ler30 Ekim 2022 itibariyle yaklaşık 7.062 ana bilgisayarın duyarlı bir OpenSSL sürümünü çalıştırdığı söyleniyor ve bunların çoğunluğu ABD, Almanya, Japonya, Çin, Çekya, Birleşik Krallık, Fransa, Rusya, Kanada ve Hollanda’da bulunuyor. .
CVE-2022-3602 iken başlangıçta tedavi Kritik bir güvenlik açığı olarak, ciddiyeti o zamandan beri eski sürüm Modern platformlarda yığın taşması korumalarına atıfta bulunarak Yüksek’e. Güvenlik araştırmacıları Polar Bear ve Viktor Dukhovni, 17 ve 18 Ekim 2022’de CVE-2022-3602 ve CVE-2022-3786’yı raporlamakla itibar kazandı.
OpenSSL Projesi ayrıca, hataların OpenSSL 3.0.0’da bir parçası olarak tanıtıldığını belirtti. zayıf kod X.509 sertifikalarındaki e-posta adresi adı kısıtlamalarını işlemek için şu anda kullanılan kod çözme işlevi.
Önemdeki değişikliğe rağmen OpenSSL, “bu sorunların ciddi güvenlik açıkları olduğunu ve etkilenen kullanıcıların mümkün olan en kısa sürede yükseltme yapmaya teşvik edildiğini” söyledi.
OpenSSL’nin şu anki sürümü olan Sürüm 3.0, paketlenmiş ile birlikte Linux işletim sistemi diğerleri arasında Ubuntu 22.04 LTS, CentOS, macOS Ventura ve Fedora 36 gibi tatlar. Etkilenen Linux sürümleri kullanılarak oluşturulan kapsayıcı görüntüleri de etkilenir.
bir göre danışma Docker tarafından yayınlanan, çeşitli Docker Resmi Görüntüleri ve Docker Verified Publisher görüntülerinde yaklaşık 1.000 görüntü havuzu etkilenebilir.
OpenSSL tarafından ele alınan son kritik kusur, kapatıldığı Eylül 2016’daydı. CVE-2016-6309isteğe bağlı kodun çökmesine veya yürütülmesine neden olabilecek ücretsiz kullanım sonrası bir hata.
OpenSSL yazılım araç takımı en çok, TLS/DTLS kalp atışı uzantısının uygulanmasında, saldırganların hedef sunucunun belleğinin bölümlerini okumasını sağlayan ciddi bir bellek işleme sorunu olan Heartbleed’den (CVE-2014-0160) etkilendi.
SentinelOne, “OpenSSL gibi yaygın olarak kullanılan ve internetteki verilerin güvenliği için çok temel olan bir yazılım kitaplığındaki kritik bir güvenlik açığı, hiçbir kuruluşun gözden kaçırmayı göze alamayacağı bir güvenlik açığıdır.” söz konusu.
