קריסות ב-OpenBSD, DragonFly BSD ו-Electron עקב פקיעת אישור השורש של IdenTrust

ההוצאה משימוש של אישור השורש של IdenTrust (DST Root CA X3), המשמש לחתימה צולבת של אישור השורש של Let's Encrypt CA, גרם לבעיות עם אימות אישור Let's Encrypt בפרויקטים המשתמשים בגרסאות ישנות יותר של OpenSSL ו-GnuTLS. בעיות השפיעו גם על ספריית LibreSSL, שהמפתחים שלה לא לקחו בחשבון ניסיון העבר הקשור לכשלים שהתעוררו לאחר שאישור השורש AddTrust של Sectigo (Comodo) CA התיישן.

נזכיר כי במהדורות OpenSSL עד ענף 1.0.2 כולל וב-GnuTLS לפני גרסה 3.6.14, היה באג שלא אפשר לעבד תעודות בחתימה צולבת בצורה נכונה אם אחד מתעודות הבסיס ששימשו לחתימה מיושן , גם אם תקפים אחרים היו שרשראות אמון שנשמרו (במקרה של Let's Encrypt, התיישנות תעודת השורש של IdenTrust מונעת אימות, גם אם למערכת יש תמיכה בתעודת השורש של Let's Encrypt עצמו, בתוקף עד 2030). תמצית הבאג היא שגרסאות ישנות יותר של OpenSSL ו-GnuTLS ניתחו את התעודה כשרשרת ליניארית, בעוד שלפי RFC 4158, תעודה יכולה לייצג גרף מעגלי מבוזר מכוון עם עוגני אמון מרובים שיש לקחת בחשבון.

כדרך עוקפת לפתרון הכשל, מוצע למחוק את אישור "DST Root CA X3" מאחסון המערכת (/etc/ca-certificates.conf ו-/etc/ssl/certs), ולאחר מכן להפעיל את הפקודה "update" -ca-certificates -f -v" "). ב-CentOS ו-RHEL, אתה יכול להוסיף את האישור "DST Root CA X3" לרשימה השחורה: trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

כמה מהקריסות שראינו שהתרחשו לאחר שפג תוקפו של אישור השורש של IdenTrust:

• ב-OpenBSD, כלי השירות syspatch, המשמש להתקנת עדכוני מערכת בינארים, הפסיק לעבוד. פרויקט OpenBSD שחרר היום בדחיפות תיקונים לסניפים 6.8 ו-6.9 שמתקנים בעיות ב-LibreSSL בבדיקת אישורים בחתימה צולבת, שאחד מתעודות השורש בשרשרת האמון שלה פג. כפתרון לבעיה, מומלץ לעבור מ-HTTPS ל-HTTP ב-/etc/installurl (זה לא מאיים על האבטחה, מכיוון שהעדכונים מאומתים בנוסף על ידי חתימה דיגיטלית) או לבחור מראה חלופי (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). אתה יכול גם להסיר את אישור השורש DST Root CA X3 שפג תוקפו מהקובץ /etc/ssl/cert.pem.
• ב-DragonFly BSD, בעיות דומות נצפות בעבודה עם DPorts. בעת הפעלת מנהל החבילות של pkg, מופיעה שגיאת אימות אישור. התיקון נוסף היום לסניפי המאסטר, DragonFly_RELEASE_6_0 ו-DragonFly_RELEASE_5_8. כדרך לעקיפת הבעיה, תוכל להסיר את אישור DST Root CA X3.
• תהליך האימות של תעודות Let's Encrypt באפליקציות המבוססות על פלטפורמת Electron שבור. הבעיה תוקנה בעדכונים 12.2.1, 13.5.1, 14.1.0, 15.1.0.
• להפצות מסוימות יש בעיות בגישה למאגרי החבילות בעת שימוש במנהל החבילות APT המשויך לגרסאות ישנות יותר של ספריית GnuTLS. דביאן 9 הושפעה מהבעיה, שהשתמשה בחבילת GnuTLS לא מתוקנת, מה שהוביל לבעיות בגישה ל-deb.debian.org עבור משתמשים שלא התקינו את העדכון בזמן (התיקון gnutls28-3.5.8-5+deb9u6 הוצע ב-17 בספטמבר). כדרך לעקיפת הבעיה, מומלץ להסיר את DST_Root_CA_X3.crt מהקובץ /etc/ca-certificates.conf.
• פעולת acme-client בערכת ההפצה ליצירת חומות אש OPNsense הופרעה, הבעיה דווחה מראש, אך המפתחים לא הצליחו לשחרר תיקון בזמן.
• הבעיה השפיעה על חבילת OpenSSL 1.0.2k ב-RHEL/CentOS 7, אך לפני שבוע נוצר עדכון לחבילת ca-certificates-7-7.el2021.2.50_72.noarch עבור RHEL 7 ו-CentOS 9, שממנו IdenTrust אישור הוסר, כלומר. ביטוי הבעיה נחסם מראש. עדכון דומה פורסם לפני שבוע עבור אובונטו 16.04, אובונטו 14.04, אובונטו 21.04, אובונטו 20.04 ואובונטו 18.04. מכיוון שהעדכונים שוחררו מראש, הבעיה בבדיקת אישורי Let's Encrypt פגעה רק במשתמשים של סניפים ישנים יותר של RHEL/CentOS ואובונטו שאינם מתקינים עדכונים באופן קבוע.
• תהליך אימות האישור ב-grpc שבור.
• בניית פלטפורמת Cloudflare Pages נכשלה.
• בעיות בשירותי האינטרנט של אמזון (AWS).
• למשתמשי DigitalOcean יש בעיות בחיבור למסד הנתונים.
• פלטפורמת הענן של Netlify קרסה.
• בעיות בגישה לשירותי Xero.
• ניסיון ליצור חיבור TLS ל-Web API של שירות MailGun נכשל.
• קריסות בגרסאות macOS ו-iOS (11, 13, 14), אשר באופן תיאורטי לא היו אמורות להיות מושפעות מהבעיה.
• שירותי תפיסה נכשלו.
• שגיאה באימות אישורים בעת גישה ל-PostMan API.
• חומת האש של Guardian קרסה.
• דף התמיכה של monday.com שבור.
• פלטפורמת Cerb קרסה.
• בדיקת זמן הפעולה נכשלה ב-Google Cloud Monitoring.
• בעיה באימות אישור ב-Cisco Umbrella Secure Web Gateway.
• בעיות בחיבור לשליחי Bluecoat ו-Palo Alto.
• OVHcloud נתקל בבעיות בחיבור ל- OpenStack API.
• בעיות ביצירת דוחות ב-Shopify.
• יש בעיות בגישה ל-Heroku API.
• Ledger Live Manager קורס.
• שגיאת אימות אישור בכלים למפתחי אפליקציות של פייסבוק.
• בעיות ב-Sophos SG UTM.
• בעיות עם אימות תעודה ב-cPanel.

מקור: OpenNet.ru