ProHoster > Blog > netfréttir > Hrun í OpenBSD, DragonFly BSD og Electron vegna þess að IdenTrust rótarvottorð rennur út

Hrun í OpenBSD, DragonFly BSD og Electron vegna þess að IdenTrust rótarvottorð rennur út

Afnám IdenTrust rótarvottorðsins (DST Root CA X3), notað til að krossrita Let's Encrypt CA rótarvottorðið, hefur valdið vandræðum með Let's Encrypt vottorðsstaðfestingu í verkefnum sem nota eldri útgáfur af OpenSSL og GnuTLS. Vandamál höfðu einnig áhrif á LibreSSL bókasafnið, en þróunaraðilar þess tóku ekki tillit til fyrri reynslu í tengslum við bilanir sem komu upp eftir að AddTrust rótarvottorð Sectigo (Comodo) CA varð úrelt.

Við skulum minnast þess að í OpenSSL útgáfum upp að grein 1.0.2 að meðtöldum og í GnuTLS fyrir útgáfu 3.6.14, var villa sem leyfði ekki að krossundirrituð skilríki væru unnin á réttan hátt ef eitt af rótarskírteinum sem notuð voru til undirritunar varð úrelt. , jafnvel þótt önnur gild séu varðveitt traustkeðjur (í tilviki Let's Encrypt kemur úrelding IdenTrust rótarvottorðsins í veg fyrir sannprófun, jafnvel þótt kerfið hafi stuðning fyrir Let's Encrypt eigið rótarskírteini, sem gildir til 2030). Kjarni villunnar er sá að eldri útgáfur af OpenSSL og GnuTLS greindu skírteinið sem línulega keðju, en samkvæmt RFC 4158 getur vottorð táknað beint dreift hringlaga línurit með mörgum traustakkerum sem þarf að taka tillit til.

Sem lausn til að leysa bilunina er lagt til að eyða „DST Root CA X3“ vottorðinu úr kerfisgeymslunni (/etc/ca-certificates.conf og /etc/ssl/certs), og keyra síðan skipunina „update“ -ca-vottorð -f -v“ "). Á CentOS og RHEL geturðu bætt „DST Root CA X3“ vottorðinu við svartan lista: trust dump —filter „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust útdráttur

Sum hrunanna sem við höfum séð sem áttu sér stað eftir að IdenTrust rótarvottorðið rann út:

  • Í OpenBSD hefur syspatch tólið, notað til að setja upp tvöfaldar kerfisuppfærslur, hætt að virka. OpenBSD verkefnið gaf í dag brýn út plástra fyrir útibú 6.8 og 6.9 sem laga vandamál í LibreSSL við að athuga krossundirrituð skilríki, eitt af rótarvottorðum í traustskeðjunni sem er útrunnið. Sem lausn á vandamálinu er mælt með því að skipta úr HTTPS yfir í HTTP í /etc/installurl (þetta ógnar ekki öryggi, þar sem uppfærslur eru auk þess staðfestar með stafrænni undirskrift) eða velja annan spegil (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Þú getur líka fjarlægt útrunnið DST Root CA X3 rótarvottorð úr /etc/ssl/cert.pem skránni.
  • Í DragonFly BSD sjást svipuð vandamál þegar unnið er með DPorts. Þegar pkg pakkastjórinn er ræstur birtist villa í staðfestingarvottorðinu. Lagfæringunni var bætt í dag við meistarann, DragonFly_RELEASE_6_0 og DragonFly_RELEASE_5_8 útibú. Sem lausn geturðu fjarlægt DST Root CA X3 vottorðið.
  • Ferlið við að staðfesta Let's Encrypt vottorð í forritum sem byggjast á Electron pallinum er bilað. Vandamálið var lagað í uppfærslum 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Sumar dreifingar eiga í vandræðum með að fá aðgang að pakkageymslum þegar APT pakkastjórinn er notaður sem tengist eldri útgáfum af GnuTLS bókasafninu. Debian 9 varð fyrir áhrifum af vandamálinu, sem notaði óuppsettan GnuTLS pakka, sem leiddi til vandræða við aðgang að deb.debian.org fyrir notendur sem ekki settu upp uppfærsluna í tæka tíð (býðst var gnutls28-3.5.8-5+deb9u6 lagfæringin 17. september). Sem lausn er mælt með því að fjarlægja DST_Root_CA_X3.crt úr /etc/ca-certificates.conf skránni.
  • Rekstur acme-client í dreifingarsettinu til að búa til OPNsense eldveggi var truflað; tilkynnt var um vandamálið fyrirfram, en forritararnir náðu ekki að gefa út plástur í tæka tíð.
  • Vandamálið hafði áhrif á OpenSSL 1.0.2k pakkann í RHEL/CentOS 7, en fyrir viku síðan var uppfærsla á ca-vottorðunum-7-7.el2021.2.50_72.noarch pakkanum búin til fyrir RHEL 7 og CentOS 9, þaðan sem IdenTrust vottorð var fjarlægt, þ.e. fyrir fram var lokað fyrir birtingarmynd vandans. Svipuð uppfærsla var birt fyrir viku síðan fyrir Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 og Ubuntu 18.04. Þar sem uppfærslurnar voru gefnar út fyrirfram hafði vandamálið við að athuga Let's Encrypt vottorð aðeins áhrif á notendur eldri útibúa RHEL/CentOS og Ubuntu sem setja ekki upp uppfærslur reglulega.
  • Staðfestingarferlið vottorðs í grpc er bilað.
  • Smíði Cloudflare Pages vettvangs mistókst.
  • Vandamál í Amazon Web Services (AWS).
  • Notendur DigitalOcean eiga í vandræðum með að tengjast gagnagrunninum.
  • Netlify skýjapallur hefur hrunið.
  • Vandamál við að fá aðgang að Xero þjónustu.
  • Tilraun til að koma á TLS tengingu við vef API MailGun þjónustunnar mistókst.
  • Hrun í útgáfum af macOS og iOS (11, 13, 14), sem fræðilega ætti ekki að hafa orðið fyrir áhrifum af vandamálinu.
  • Aflstöð þjónusta mistókst.
  • Villa við að staðfesta vottorð við aðgang að PostMan API.
  • Guardian Firewall hefur hrunið.
  • Stuðningssíða monday.com er biluð.
  • Cerb pallurinn hefur hrunið.
  • Athugun á spenntur mistókst í Google Cloud Monitoring.
  • Vandamál með staðfestingu vottorðs í Cisco Umbrella Secure Web Gateway.
  • Vandamál við að tengjast Bluecoat og Palo Alto umboðum.
  • OVHcloud á í vandræðum með að tengjast OpenStack API.
  • Vandamál við að búa til skýrslur í Shopify.
  • Það eru vandamál með að fá aðgang að Heroku API.
  • Ledger Live Manager hrynur.
  • Vottorðsstaðfestingarvilla í Facebook App Developer Tools.
  • Vandamál í Sophos SG UTM.
  • Vandamál með staðfestingu vottorðs í cPanel.

Heimild: opennet.ru

Bæta við athugasemd