ProHoster > Blog > Interneteko albisteak > OpenBSD, DragonFly BSD eta Electron-en huts egiten du IdenTrust erro-ziurtagiriaren iraungipenagatik

OpenBSD, DragonFly BSD eta Electron-en huts egiten du IdenTrust erro-ziurtagiriaren iraungipenagatik

Let's Encrypt CA erro ziurtagiria sinatzeko erabiltzen den IdenTrust erro ziurtagiria (DST Root CA X3) zaharkitzeak arazoak eragin ditu Let's Encrypt ziurtagiriaren egiaztapenarekin OpenSSL eta GnuTLS bertsio zaharragoak erabiltzen dituzten proiektuetan. Arazoek LibreSSL liburutegian ere eragina izan zuten, eta haren garatzaileek ez zuten kontuan hartu Sectigo (Comodo) ziurtagiri-agintaritzaren AddTrust erro-ziurtagiria zaharkitu ondoren sortutako akatsekin lotutako iraganeko esperientzia.

Gogora dezagun OpenSSL bertsioetan 1.0.2 adarretaraino eta GnuTLS 3.6.14 bertsioa baino lehen, sinadurarako erabilitako erro-ziurtagirietako bat zaharkituta geratzen bazen sinadura gurutzatutako ziurtagiriak behar bezala prozesatzen uzten ez zuen akats bat zegoela. , baliozko beste batzuk konfiantzazko kateak gorde baziren ere (Let's Encrypt-en kasuan, IdenTrust erro-ziurtagiriaren zaharkitzeak egiaztapena eragozten du, nahiz eta sistemak Let's Encrypt-en berezko erro-ziurtagirirako euskarria izan, 2030era arte indarrean dagoena). Akatsaren mamia da OpenSSL eta GnuTLS-en bertsio zaharragoek ziurtagiria kate lineal gisa analizatu zutela, RFC 4158-ren arabera, ziurtagiri batek, berriz, banatutako grafiko zirkular zuzendua irudika dezakeela kontuan hartu beharreko konfiantzazko aingura askorekin.

Hutsegitea konpontzeko konponbide gisa, "DST Root CA X3" ziurtagiria sistemaren biltegitik ezabatzea proposatzen da (/etc/ca-certificates.conf eta /etc/ssl/certs), eta gero "eguneratu" komandoa exekutatzea. -ca-ziurtagiriak -f -v”). CentOS eta RHEL-en, "DST Root CA X3" ziurtagiria gehi dezakezu zerrenda beltzean: trust dump β€”filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

IdenTrust erro-ziurtagiria iraungi ondoren gertatu diren hutsegiteetako batzuk:

  • OpenBSD-en, sistema bitarren eguneraketak instalatzeko erabiltzen den syspatch utilitatea funtzionatzeari utzi dio. OpenBSD proiektuak 6.8 eta 6.9 adarretarako adabakiak kaleratu ditu gaur, sinadura gurutzatutako ziurtagiriak egiaztatzearekin LibreSSLn arazoak konpontzen dituztenak. Arazoaren konponbide gisa, /etc/installurl-en HTTPStik HTTPra aldatzea gomendatzen da (horrek ez du segurtasuna mehatxatzen, eguneraketak sinadura digital baten bidez egiaztatzen baitira) edo ispilu alternatibo bat hautatzea (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). Iraungitako DST Root CA X3 erro ziurtagiria /etc/ssl/cert.pem fitxategitik ere kendu dezakezu.
  • DragonFly BSD-n, antzeko arazoak ikusten dira DPorts-ekin lan egitean. pkg pakete-kudeatzailea abiaraztean, ziurtagiriaren egiaztapen-errore bat agertzen da. Konponketa gaur gehitu da maisuan, DragonFly_RELEASE_6_0 eta DragonFly_RELEASE_5_8 adarretara. Konponbide gisa, DST Root CA X3 ziurtagiria kendu dezakezu.
  • Electron plataforman oinarritutako aplikazioetan Let's Encrypt ziurtagiriak egiaztatzeko prozesua hautsita dago. Arazoa 12.2.1, 13.5.1, 14.1.0, 15.1.0 eguneraketetan konpondu zen.
  • Banaketa batzuek arazoak dituzte paketeen biltegietara sartzeko GnuTLS liburutegiaren bertsio zaharragoekin lotutako APT pakete-kudeatzailea erabiltzean. Debian 9 arazoa izan zen, eta horrek adabakirik gabeko GnuTLS pakete bat erabiltzen zuen, eta horrek arazoak sortu zituen deb.debian.org-en atzitzean eguneratzea garaiz instalatu ez zuten erabiltzaileentzat (gnutls28-3.5.8-5+deb9u6 konponketa eskaini zen). irailaren 17an). Konponbide gisa, DST_Root_CA_X3.crt kentzea gomendatzen da /etc/ca-certificates.conf fitxategitik.
  • OPNsense suebakiak sortzeko banaketa kitaren acme-client-en funtzionamendua eten egin zen; arazoa aldez aurretik jakinarazi zen, baina garatzaileek ez zuten lortu adabakirik garaiz askatzea.
  • Arazoak RHEL/CentOS 1.0.2-n OpenSSL 7k paketeari eragin zion, baina duela aste bat ca-certificates-7-7.el2021.2.50_72.noarch paketearen eguneraketa bat sortu zen RHEL 7 eta CentOS 9rako, eta bertatik IdenTrust ziurtagiria kendu zen, hau da. arazoaren agerpena aldez aurretik blokeatuta zegoen. Duela astebete antzeko eguneratze bat argitaratu zen Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 eta Ubuntu 18.04. Eguneraketak aldez aurretik kaleratu zirenez, Let's Encrypt ziurtagiriak egiaztatzeko arazoak RHEL/CentOS eta Ubunturen adar zaharretako erabiltzaileei soilik eragin die eguneraketak aldizka instalatzen ez dituztenak.
  • Grpc-en ziurtagiria egiaztatzeko prozesua hautsita dago.
  • Cloudflare Pages plataformaren eraikuntza huts egin du.
  • Arazoak Amazon Web Services-en (AWS).
  • DigitalOcean-eko erabiltzaileek arazoak dituzte datu basera konektatzeko.
  • Netlify hodeiko plataformak huts egin du.
  • Xero zerbitzuetara sartzeko arazoak.
  • MailGun zerbitzuaren Web APIarekin TLS konexioa ezartzeko saiakerak huts egin du.
  • MacOS eta iOS (11, 13, 14) bertsioetan kraskatzeak, teorikoki ez lukete arazoaren eraginik izan behar.
  • Catchpoint zerbitzuek huts egin dute.
  • Errore bat gertatu da ziurtagiriak egiaztatzean PostMan APIra sartzean.
  • Guardian Firewall huts egin du.
  • Monday.com laguntza orria hautsita dago.
  • Cerb plataforma erori egin da.
  • Aktualitatearen egiaztapenak huts egin du Google Cloud Monitoring-en.
  • Arazoa ziurtagiriaren egiaztapenarekin Cisco Umbrella Secure Web Gateway-n.
  • Bluecoat eta Palo Alto proxy-ekin konektatzeko arazoak.
  • OVHcloud arazoak ditu OpenStack APIra konektatzeko.
  • Arazoak Shopify-n txostenak sortzeko.
  • Arazoak daude Heroku APIra sartzeko.
  • Ledger Live Manager huts egin du.
  • Ziurtagiriaren egiaztapen-errorea Facebook App Developer Tools-en.
  • Arazoak Sophos SG UTM-n.
  • Arazoak cPanel-en ziurtagiriaren egiaztapenarekin.

Iturria: opennet.ru

Gehitu iruzkin berria