OpenSSL yama yapmaya hazırlanıyor (yeni sekmede açılır) sekiz yıldaki ilk kritik kusuru. OpenSSL Projesi, kritik olarak tanımlanan bir kusur da dahil olmak üzere açık kaynak araç setindeki çeşitli güvenlik açıklarını düzeltmesi gereken yeni bir yazılım güncellemesini duyurdu.
“OpenSSL proje ekibi, OpenSSL sürüm 3.0.7’nin gelecek sürümünü duyurmak istiyor. Bu sürüm, 1 Kasım 2022 Salı günü 1300-1700 UTC arasında kullanıma sunulacak.” okur duyuru (yeni sekmede açılır). “OpenSSL 3.0.7 bir güvenlik düzeltmesi sürümüdür. Bu sürümde düzeltilen en yüksek önemdeki sorun KRİTİK’tir.”
Geliştiriciler, “Örnekler, sunucu belleği içeriğinin önemli ölçüde ifşa edilmesini (potansiyel olarak kullanıcı ayrıntılarını açığa çıkarmayı), sunucu özel anahtarlarını tehlikeye atmak için uzaktan kolayca kullanılabilecek güvenlik açıklarını veya yaygın durumlarda uzaktan kod yürütmenin muhtemel olduğu düşünülen güvenlik açıklarını içerir” dedi.
Yama gelecek ay geliyor
Kusur 3.0 ve daha yeni sürümleri etkiler ve OpenSSL Projesi tarafından ele alınan ikinci kritik güvenlik açığıdır ve Heartbleed (CVE-2014-0160) 2014’te ilkidir.
3.0.7 sürümünün çıkış tarihi şimdi 1 Kasım olarak belirlendi. Geliştiriciler bunu bir “güvenlik düzeltme sürümü” olarak tanımlıyor. Paralel olarak, aynı gün yayınlanan bir hata düzeltme sürümü, 1.1.1s olacaktır.
Sonatype’ın CTO’su Brian Fox, OpenSSL Project’in sorunu ele alma biçiminden pek memnun görünmüyor ve geliştiricileri tehlikeli bir konuma getirdiğini söylüyor:
“Şimdiye kadar bildiğimiz tek şey, sorunun ekip tarafından kritik olarak kabul edildiği, 2014’te Heartbleed hatası ve serpintisinden sonra izlemeye başladıklarından beri OpenSSL’deki yalnızca ikinci kritik güvenlik açığı. Bunun yalnızca 3.0 ve sonraki sürümleri etkilediğini biliyoruz, ancak bu sorunun ne kadar geniş çapta uygulanabilir veya ne kadar kolay istismar edilebilir olacağını ve 1 Kasım’da tamamen açıklanacağını değil.”
Ardından üç varsayımsal soru sormaya devam ediyor: Bir şirket OpenSSL Projesi’nin az önce duyurduğu şekilde yeni bir güvenlik açığı öğrenirse, bir BT uzmanının şirketinin bu bileşenin herhangi bir sürümünü herhangi bir yerde kullanıp kullanmadığını öğrenmesi ne kadar sürer? portföyünde, etkilenen sürümleri hangi uygulamalarda kullandığı ve şirketin sorunu ne kadar süre önce çözebileceği – ufukta olası bir felaket olduğunu ima ediyor.
“Yukarıda sorduğum üç soruyu hemen yanıtlayamıyorsanız, hazırlanmak için altı gününüz var” diye uyarıyor. “Zaman geçiyor.”
Öte yandan OpenSSL çekirdek ekip üyesi Mark J. Cox, güvenlik açığıyla ilgili ayrıntıların çok az olması nedeniyle, yama uygulanmadan önce sahtekarların bunu kötüye kullanma şansının zayıf olduğunu savunuyor. Yama geldiğinde BT ekiplerine bir uyarı vermek, sahtekarların kusuru kötüye kullanma potansiyel risklerinden çok daha ağır basıyor, diyor:
3.0’daki değişikliklerin sayısı ve diğer bağlam bilgilerinin eksikliği göz önüne alındığında, [threat actors going through the commit history between versions 3.0 and the current one to find anything] çok düşük bir ihtimal” diye tweet attı.
Aracılığıyla: Güvenlik İşleri (yeni sekmede açılır)
