ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የX.509 የእውቅና ማረጋገጫዎችን ሲያረጋግጥ በOpenSSL ውስጥ ቋት ሞልቷል።

የX.509 የእውቅና ማረጋገጫዎችን ሲያረጋግጥ በOpenSSL ውስጥ ቋት ሞልቷል።

ሁለት ተጋላጭነቶችን የሚያስተካክለው የOpenSSL ምስጠራ ቤተ-መጽሐፍት 3.0.7 ማስተካከያ ታትሟል። ሁለቱም ጉዳዮች በ X.509 ሰርተፊኬቶች ውስጥ ባለው የኢሜል መስክ የማረጋገጫ ኮድ ውስጥ ባለው የመጠባበቂያ ክምችት ምክንያት የተከሰቱ ናቸው እና በልዩ ሁኔታ የተቀረጸ የምስክር ወረቀት ሲሰራ ወደ ኮድ አፈፃፀም ሊያመራ ይችላል። ማስተካከያው በሚታተምበት ጊዜ የOpenSSL ገንቢዎች የአጥቂውን ኮድ ወደ መፈጸም ሊያመራ የሚችል የስራ ብዝበዛ መኖሩን የሚያሳይ ምንም አይነት ማስረጃ አልመዘገቡም።

ምንም እንኳን የአዲሱ የተለቀቀው የቅድመ-መለቀቅ ማስታወቂያ ወሳኝ ጉዳይ መኖሩን ቢጠቅስም ፣ በእውነቱ ፣ በተለቀቀው ዝመና ውስጥ የተጋላጭነት ሁኔታ ወደ አደገኛ ደረጃ ቀንሷል ፣ ግን ወሳኝ ተጋላጭነት አይደለም። በፕሮጀክቱ ውስጥ በተደነገገው ደንቦች መሰረት, ችግሩ እራሱን በማይታዩ ውቅሮች ውስጥ ካሳየ ወይም በተጨባጭ የተጋላጭነት ብዝበዛ ዝቅተኛ ከሆነ የአደጋው ደረጃ ይቀንሳል.

በዚህ ሁኔታ የክብደት መጠኑ ቀንሷል ምክንያቱም በበርካታ ድርጅቶች የተጋላጭነት ዝርዝር ትንታኔ በዝበዛ ወቅት ኮድን የማስፈፀም አቅም በብዙ መድረኮች ጥቅም ላይ በሚውሉ የቁልል ፍሰት መከላከያ ዘዴዎች ታግዷል የሚል ድምዳሜ ላይ ደርሷል። በተጨማሪም በአንዳንድ የሊኑክስ ስርጭቶች ውስጥ ጥቅም ላይ የዋለው የፍርግርግ አቀማመጥ 4 ባይት ከድንበር የሚወጡት በሚቀጥለው ቋት ላይ ተደራርበው ጥቅም ላይ ያልዋሉ ናቸው። ይሁን እንጂ ኮድ ለማስፈጸም ጥቅም ላይ ሊውሉ የሚችሉ መድረኮች ሊኖሩ ይችላሉ.

ተለይተው የሚታወቁ ጉዳዮች፡-

  • CVE-2022-3602 - የተጋላጭነት፣ መጀመሪያ ላይ እንደ ወሳኝ ሆኖ የቀረበው፣ በ X.4 ሰርተፍኬት ውስጥ በልዩ ሁኔታ የተነደፈ የኢሜል አድራሻ ያለው መስክ ሲፈተሽ ወደ 509-ባይት ቋት መትረፍ ያመራል። በTLS ደንበኛ ውስጥ፣ በአጥቂው ከሚቆጣጠረው አገልጋይ ጋር ሲገናኙ ተጋላጭነቱ ጥቅም ላይ ሊውል ይችላል። በTLS አገልጋይ ላይ፣ የምስክር ወረቀቶችን በመጠቀም የደንበኛ ማረጋገጫ ጥቅም ላይ ከዋለ ተጋላጭነቱ ጥቅም ላይ ሊውል ይችላል። በዚህ ሁኔታ ተጋላጭነቱ ከምስክር ወረቀቱ ጋር የተያያዘውን የመተማመን ሰንሰለት ካረጋገጠ በኋላ በደረጃው ላይ ይታያል, ማለትም. ጥቃቱ የምስክር ወረቀት ባለስልጣኑ የአጥቂውን ተንኮል አዘል ሰርተፍኬት እንዲያረጋግጥ ይጠይቃል።
  • CVE-2022-3786 በችግሩ ትንተና ወቅት ተለይቶ የሚታወቀውን CVE-2022-3602 ተጋላጭነትን ለመበዝበዝ ሌላው ቬክተር ነው። ልዩነቶቹ “”ን በያዙ የዘፈቀደ የባይት ብዛት ቁልል ላይ ያለውን ቋት የመሙላት እድልን ይቀንሳል። (ማለትም አጥቂው የተትረፈረፈበትን ይዘት መቆጣጠር አይችልም እና ችግሩ አፕሊኬሽኑ እንዲበላሽ ለማድረግ ብቻ ጥቅም ላይ ሊውል ይችላል)።

ድክመቶቹ የሚታዩት በOpenSSL 3.0.x ቅርንጫፍ ውስጥ ብቻ ነው (ስህተት በዩኒኮድ ልወጣ ኮድ (ፑኒኮድ) ወደ 3.0.x ቅርንጫፍ ታክሏል) ውስጥ ገብቷል። የOpenSSL 1.1.1፣ እንዲሁም የOpenSSL ፎርክ ቤተ-መጻሕፍት LibreSSL እና BoringSSL፣ በችግሩ አይነኩም። በተመሳሳይ ጊዜ የOpenSSL 1.1.1s ዝማኔ ተለቋል፣ ይህም የደህንነት ያልሆኑ የሳንካ ጥገናዎችን ብቻ የያዘ ነው።

የOpenSSL 3.0 ቅርንጫፍ እንደ ኡቡንቱ 22.04፣ CentOS Stream 9፣ RHEL 9፣ OpenMandriva 4.2፣ Gentoo፣ Fedora 36፣ Debian Testing/Unstable ባሉ ስርጭቶች ውስጥ ጥቅም ላይ ይውላል። የእነዚህ ስርዓቶች ተጠቃሚዎች ዝማኔዎችን በተቻለ ፍጥነት እንዲጭኑ ይመከራሉ (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). በSUSE Linux Enterprise 15 SP4 እና openSUSE Leap 15.4፣OpenSSL 3.0 ያላቸው ጥቅሎች እንደአማራጭ ይገኛሉ፣የስርዓት ፓኬጆች የ1.1.1 ቅርንጫፍን ይጠቀማሉ። Debian 1፣ Arch Linux፣ Void Linux፣ Ubuntu 11፣ Slackware፣ ALT Linux፣ RHEL 20.04፣ OpenWrt፣ Alpine Linux 8 እና FreeBSD በOpenSSL 3.16.x ቅርንጫፎች ላይ ይቀራሉ።

ምንጭ: opennet.ru

አስተያየት ያክሉ