🥇 IdenTrust রুট শংসাপত্রের মেয়াদ শেষ হওয়ার কারণে OpenBSD, DragonFly BSD এবং Electron-এ ক্র্যাশ প্রোহোস্টার

Let's Encrypt CA রুট সার্টিফিকেট ক্রস সাইন করার জন্য ব্যবহৃত IdenTrust রুট সার্টিফিকেট (DST রুট CA X3) এর অবচয়, OpenSSL এবং GnuTLS এর পুরানো সংস্করণগুলি ব্যবহার করে প্রকল্পগুলিতে লেটস এনক্রিপ্ট শংসাপত্র যাচাইকরণে সমস্যা সৃষ্টি করেছে৷ সমস্যাগুলি LibreSSL লাইব্রেরিকেও প্রভাবিত করেছে, যার বিকাশকারীরা সেকটিগো (কোমোডো) CA-এর AddTrust রুট শংসাপত্র অপ্রচলিত হওয়ার পরে উদ্ভূত ব্যর্থতার সাথে যুক্ত অতীতের অভিজ্ঞতাকে বিবেচনায় নেয়নি।

আমাদের স্মরণ করা যাক যে OpenSSL রিলিজ 1.0.2 পর্যন্ত শাখা পর্যন্ত এবং GnuTLS-এ রিলিজ 3.6.14 এর আগে, একটি বাগ ছিল যা ক্রস-স্বাক্ষরিত শংসাপত্রগুলিকে সঠিকভাবে প্রক্রিয়া করার অনুমতি দেয়নি যদি স্বাক্ষর করার জন্য ব্যবহৃত রুট শংসাপত্রগুলির মধ্যে একটি পুরানো হয়ে যায়। , এমনকি যদি অন্য বৈধগুলি বিশ্বাসের চেইনগুলি সংরক্ষিত থাকে (লেটস এনক্রিপ্টের ক্ষেত্রে, আইডেন ট্রাস্ট রুট শংসাপত্রের অপ্রচলিততা যাচাইকরণে বাধা দেয়, এমনকি যদি সিস্টেমের লেটস এনক্রিপ্টের নিজস্ব রুট শংসাপত্রের জন্য সমর্থন থাকে, 2030 পর্যন্ত বৈধ)। বাগটির সারাংশ হল যে OpenSSL এবং GnuTLS-এর পুরানো সংস্করণগুলি একটি লিনিয়ার চেইন হিসাবে শংসাপত্রকে পার্স করেছে, যখন RFC 4158 অনুসারে, একটি শংসাপত্র একাধিক ট্রাস্ট অ্যাঙ্কর সহ একটি নির্দেশিত বিতরণ করা বৃত্তাকার গ্রাফ উপস্থাপন করতে পারে যা বিবেচনায় নেওয়া দরকার।

ব্যর্থতা সমাধানের জন্য একটি সমাধান হিসাবে, সিস্টেম স্টোরেজ (/etc/ca-certificates.conf এবং /etc/ssl/certs) থেকে "DST রুট CA X3" শংসাপত্রটি মুছে ফেলার প্রস্তাব করা হয়েছে, এবং তারপর "update" কমান্ডটি চালান। -ca-শংসাপত্র -f -v"")। CentOS এবং RHEL-এ, আপনি কালো তালিকায় "DST রুট CA X3" শংসাপত্র যোগ করতে পারেন: বিশ্বাস ডাম্প —ফিল্টার “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

IdenTrust রুট শংসাপত্রের মেয়াদ শেষ হওয়ার পরে আমরা দেখেছি এমন কিছু ক্র্যাশ:

ওপেনবিএসডিতে, বাইনারি সিস্টেম আপডেট ইনস্টল করতে ব্যবহৃত সিসপ্যাচ ইউটিলিটি কাজ করা বন্ধ করে দিয়েছে। ওপেনবিএসডি প্রকল্প আজ জরুরিভাবে 6.8 এবং 6.9 শাখার জন্য প্যাচ প্রকাশ করেছে যা LibreSSL-এ ক্রস-স্বাক্ষরিত শংসাপত্র চেক করার সমস্যা সমাধান করে, যার ট্রাস্ট চেইনের মূল শংসাপত্রগুলির মধ্যে একটি মেয়াদ শেষ হয়ে গেছে। সমস্যার সমাধান হিসাবে, /etc/installurl-এ HTTPS থেকে HTTP-তে স্যুইচ করার পরামর্শ দেওয়া হয় (এটি নিরাপত্তার জন্য হুমকি দেয় না, যেহেতু আপডেটগুলি অতিরিক্তভাবে একটি ডিজিটাল স্বাক্ষর দ্বারা যাচাই করা হয়) অথবা একটি বিকল্প আয়না (ftp.usa.openbsd) নির্বাচন করুন। org, ftp.hostserver.de, cdn.openbsd.org)। আপনি /etc/ssl/cert.pem ফাইল থেকে মেয়াদোত্তীর্ণ DST রুট CA X3 রুট শংসাপত্রটিও সরিয়ে ফেলতে পারেন।
ড্রাগনফ্লাই বিএসডি-তে, ডিপোর্টগুলির সাথে কাজ করার সময় অনুরূপ সমস্যাগুলি পরিলক্ষিত হয়। pkg প্যাকেজ ম্যানেজার শুরু করার সময়, একটি শংসাপত্র যাচাইকরণ ত্রুটি প্রদর্শিত হয়। সমাধানটি আজ মাস্টার, DragonFly_RELEASE_6_0 এবং DragonFly_RELEASE_5_8 শাখায় যোগ করা হয়েছে৷ একটি সমাধান হিসাবে, আপনি DST রুট CA X3 শংসাপত্র সরাতে পারেন।
ইলেক্ট্রন প্ল্যাটফর্মের উপর ভিত্তি করে অ্যাপ্লিকেশনগুলিতে লেটস এনক্রিপ্ট সার্টিফিকেট যাচাই করার প্রক্রিয়াটি ভেঙে গেছে। 12.2.1, 13.5.1, 14.1.0, 15.1.0 আপডেটে সমস্যাটি ঠিক করা হয়েছে।
GnuTLS লাইব্রেরির পুরানো সংস্করণের সাথে যুক্ত APT প্যাকেজ ম্যানেজার ব্যবহার করার সময় কিছু ডিস্ট্রিবিউশনে প্যাকেজ সংগ্রহস্থল অ্যাক্সেস করতে সমস্যা হয়। ডেবিয়ান 9 সমস্যাটির দ্বারা প্রভাবিত হয়েছিল, যা একটি আনপ্যাচড GnuTLS প্যাকেজ ব্যবহার করেছিল, যার ফলে deb.debian.org অ্যাক্সেস করার সময় সমস্যা হয়েছিল যারা সময়মতো আপডেট ইনস্টল করেননি (gnutls28-3.5.8-5+deb9u6 ফিক্স দেওয়া হয়েছিল) 17 সেপ্টেম্বর)। একটি সমাধান হিসাবে, /etc/ca-certificates.conf ফাইল থেকে DST_Root_CA_X3.crt অপসারণ করার পরামর্শ দেওয়া হচ্ছে।
OPNsense ফায়ারওয়াল তৈরির জন্য ডিস্ট্রিবিউশন কিটে acme-ক্লায়েন্টের অপারেশন ব্যাহত হয়েছিল; সমস্যাটি আগেই জানানো হয়েছিল, কিন্তু বিকাশকারীরা সময়মতো একটি প্যাচ প্রকাশ করতে পারেনি।
সমস্যাটি RHEL/CentOS 1.0.2-এর OpenSSL 7k প্যাকেজকে প্রভাবিত করেছিল, কিন্তু এক সপ্তাহ আগে ca-certificates-7-7.el2021.2.50_72.noarch প্যাকেজের একটি আপডেট RHEL 7 এবং CentOS 9-এর জন্য তৈরি করা হয়েছিল, যেখান থেকে IdenTrust শংসাপত্র সরানো হয়েছে, যেমন সমস্যার প্রকাশ আগাম অবরুদ্ধ ছিল. উবুন্টু 16.04, উবুন্টু 14.04, উবুন্টু 21.04, উবুন্টু 20.04 এবং উবুন্টু 18.04-এর জন্য এক সপ্তাহ আগে অনুরূপ আপডেট প্রকাশিত হয়েছিল। যেহেতু আপডেটগুলি আগেই প্রকাশ করা হয়েছিল, তাই লেটস এনক্রিপ্ট সার্টিফিকেট চেক করার সমস্যাটি শুধুমাত্র RHEL/CentOS এবং উবুন্টুর পুরানো শাখার ব্যবহারকারীদের প্রভাবিত করে যারা নিয়মিত আপডেট ইনস্টল করেন না।
grpc-এ শংসাপত্র যাচাইকরণ প্রক্রিয়াটি ভেঙে গেছে।
Cloudflare পেজ প্ল্যাটফর্ম বিল্ড ব্যর্থ হয়েছে.
Amazon Web Services (AWS) এর সমস্যা।
DigitalOcean ব্যবহারকারীদের ডাটাবেসের সাথে সংযোগ করতে সমস্যা হয়।
Netlify ক্লাউড প্ল্যাটফর্ম ক্র্যাশ হয়েছে।
Xero পরিষেবাগুলি অ্যাক্সেস করতে সমস্যা।
MailGun পরিষেবার ওয়েব API-এ একটি TLS সংযোগ স্থাপনের প্রচেষ্টা ব্যর্থ হয়েছে৷
macOS এবং iOS (11, 13, 14) সংস্করণে ক্র্যাশ, যা তাত্ত্বিকভাবে সমস্যা দ্বারা প্রভাবিত হওয়া উচিত নয়।
ক্যাচপয়েন্ট পরিষেবা ব্যর্থ হয়েছে৷
পোস্টম্যান API অ্যাক্সেস করার সময় শংসাপত্র যাচাইকরণে ত্রুটি৷
গার্ডিয়ান ফায়ারওয়াল ক্র্যাশ হয়েছে।
monday.com সমর্থন পৃষ্ঠাটি ভেঙে গেছে।
Cerb প্ল্যাটফর্ম বিপর্যস্ত হয়েছে.
Google ক্লাউড মনিটরিং-এ আপটাইম চেক ব্যর্থ হয়েছে৷
Cisco আমব্রেলা সিকিউর ওয়েব গেটওয়েতে শংসাপত্র যাচাইকরণের সমস্যা।
Bluecoat এবং Palo Alto প্রক্সিগুলির সাথে সংযোগ করতে সমস্যা৷
OVHcloud-এর OpenStack API-এর সাথে সংযোগ করতে সমস্যা হচ্ছে।
Shopify-এ রিপোর্ট তৈরি করতে সমস্যা।
Heroku API অ্যাক্সেস করতে সমস্যা আছে।
লেজার লাইভ ম্যানেজার ক্র্যাশ।
Facebook অ্যাপ বিকাশকারী সরঞ্জামগুলিতে শংসাপত্র যাচাইকরণ ত্রুটি৷
Sophos SG UTM-এ সমস্যা।
cPanel-এ শংসাপত্র যাচাইকরণে সমস্যা।

উত্স: opennet.ru

পুরানো আইডেনট্রাস্ট রুট শংসাপত্রের কারণে OpenBSD, DragonFly BSD এবং Electron-এ ক্র্যাশ

একটি মন্তব্য জুড়ুন উত্তর বাতিল