ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Kacilakan ing OpenBSD, DragonFly BSD lan Electron amarga sertifikat root IdenTrust kadaluwarsa

Kacilakan ing OpenBSD, DragonFly BSD lan Electron amarga sertifikat root IdenTrust kadaluwarsa

Penolakan sertifikat ROOT IdenTrust (DST ROOT CA X3), sing digunakake kanggo mlebu salib sertifikat ROOT Ayo Encrypt CA, nyebabake masalah karo verifikasi sertifikat Ayo Encrypt ing proyek sing nggunakake versi OpenSSL lan GnuTLS lawas. Masalah uga kena pengaruh perpustakaan LibreSSL, pangembang sing ora nggatekake pengalaman kepungkur sing ana gandhengane karo kegagalan sing muncul sawise sertifikat root AddTrust Sectigo (Comodo) CA dadi lungse.

Elinga yen ing OpenSSL diluncurake nganti cabang 1.0.2 inklusif lan ing GnuTLS sadurunge diluncurake 3.6.14, ana bug sing ora ngidini sertifikat sing ditandatangani silang bisa diproses kanthi bener yen salah siji saka sertifikat root sing digunakake kanggo teken dadi ketinggalan jaman. , sanajan liyane sing sah padha dilestarekake rantΓ© kapercayan (ing kasus Ayo Encrypt, obsolescence saka sertifikat ROOT IdenTrust ngalangi verifikasi, sanajan sistem wis support kanggo sertifikat ROOT Ayo Encrypt dhewe, valid nganti 2030). Inti saka bug kasebut yaiku versi OpenSSL lan GnuTLS sing lawas ngurai sertifikat kasebut minangka rantai linear, dene miturut RFC 4158, sertifikat bisa makili grafik bunder sing disebarake kanthi macem-macem jangkar kepercayaan sing kudu digatekake.

Minangka solusi kanggo ngatasi kegagalan, disaranake mbusak sertifikat "DST ROOT CA X3" saka panyimpenan sistem (/etc/ca-certificates.conf lan /etc/ssl/certs), banjur mbukak printah "update". -ca-sertifikat -f -v” "). Ing CentOS lan RHEL, sampeyan bisa nambah sertifikat "DST Root CA X3" menyang dhaptar ireng: trust dump β€”filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Sawetara kacilakan sing kita deleng sing kedadeyan sawise sertifikat root IdenTrust kadaluwarsa:

  • Ing OpenBSD, utilitas syspatch, sing digunakake kanggo nginstal nganyari sistem binar, wis mandheg. Proyek OpenBSD saiki cepet-cepet ngeculake patch kanggo cabang 6.8 lan 6.9 sing ndandani masalah ing LibreSSL kanthi mriksa sertifikat sing ditandatangani silang, salah sawijining sertifikat root ing rantai kepercayaan sing wis kadaluwarsa. Minangka solusi kanggo masalah, disaranake ngalih saka HTTPS menyang HTTP ing /etc/installurl (iki ora ngancam keamanan, amarga nganyari tambahan diverifikasi dening teken digital) utawa pilih pangilon alternatif (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Sampeyan uga bisa mbusak sertifikat ROOT DST ROOT CA X3 saka file /etc/ssl/cert.pem.
  • Ing DragonFly BSD, masalah sing padha diamati nalika nggarap DPorts. Nalika miwiti manajer paket pkg, kesalahan verifikasi sertifikat katon. Ndandani iki ditambahake ing master, DragonFly_RELEASE_6_0 lan DragonFly_RELEASE_5_8 cabang. Minangka workaround, sampeyan bisa mbusak sertifikat DST ROOT CA X3.
  • Proses mriksa sertifikat Ayo Encrypt ing aplikasi adhedhasar platform Electron rusak. Masalah iki didandani ing nganyari 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Sawetara distribusi duwe masalah ngakses repositori paket nalika nggunakake manajer paket APT sing digandhengake karo versi perpustakaan GnuTLS sing lawas. Debian 9 kena pengaruh masalah kasebut, sing nggunakake paket GnuTLS sing ora ditambal, sing nyebabake masalah nalika ngakses deb.debian.org kanggo pangguna sing ora nginstal nganyari kanthi tepat (kanggo ndandani gnutls28-3.5.8-5+deb9u6 ditawakake. tanggal 17 September). Minangka workaround, dianjurake kanggo mbusak DST_Root_CA_X3.crt saka file /etc/ca-certificates.conf.
  • Operasi acme-klien ing kit distribusi kanggo nggawe firewall OPNsense diganggu; masalah kasebut dilaporake sadurunge, nanging pangembang ora bisa ngeculake tembelan ing wektu kasebut.
  • Masalah kasebut mengaruhi paket OpenSSL 1.0.2k ing RHEL / CentOS 7, nanging seminggu kepungkur nganyari paket ca-certificates-7-7.el2021.2.50_72.noarch kanggo RHEL 7 lan CentOS 9, saka ngendi IdenTrust sertifikat dibusak, i.e. manifestation saka masalah iki diblokir ing advance. Nganyari sing padha diterbitake seminggu kepungkur kanggo Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 lan Ubuntu 18.04. Wiwit nganyari wis dirilis luwih dhisik, masalah mriksa sertifikat Let's Encrypt mung mengaruhi pangguna cabang lawas RHEL / CentOS lan Ubuntu sing ora rutin nginstal nganyari.
  • Proses verifikasi sertifikat ing grpc rusak.
  • Gagal mbangun platform Cloudflare Pages.
  • Masalah ing Amazon Web Services (AWS).
  • Pangguna DigitalOcean duwe masalah nyambungake menyang database.
  • Platform awan Netlify wis ambruk.
  • Masalah ngakses layanan Xero.
  • Usaha kanggo nggawe sambungan TLS menyang API Web layanan MailGun gagal.
  • Kacilakan ing versi macOS lan iOS (11, 13, 14), sing miturut teori mesthine ora kena pengaruh masalah kasebut.
  • Layanan Catchpoint gagal.
  • Kesalahan verifikasi sertifikat nalika ngakses PostMan API.
  • Guardian Firewall wis tabrakan.
  • Kaca dhukungan monday.com rusak.
  • Platform Cerb wis ambruk.
  • Priksa uptime gagal ing Google Cloud Monitoring.
  • Masalah karo verifikasi sertifikat ing Cisco Umbrella Secure Web Gateway.
  • Masalah nyambungake menyang proxy Bluecoat lan Palo Alto.
  • OVHcloud ngalami masalah nyambungake menyang OpenStack API.
  • Masalah karo ngasilake laporan ing Shopify.
  • Ana masalah ngakses API Heroku.
  • Ledger Live Manager kacilakan.
  • Kesalahan verifikasi sertifikat ing Alat Pangembang Aplikasi Facebook.
  • Masalah ing Sophos SG UTM.
  • Masalah karo verifikasi sertifikat ing cPanel.

Source: opennet.ru

Add a comment