ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > AddTrust ಮೂಲ ಪ್ರಮಾಣಪತ್ರ ಅಸಮ್ಮತಿಯು OpenSSL ಮತ್ತು GnuTLS ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕ್ರ್ಯಾಶ್‌ಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ

AddTrust ಮೂಲ ಪ್ರಮಾಣಪತ್ರ ಅಸಮ್ಮತಿಯು OpenSSL ಮತ್ತು GnuTLS ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕ್ರ್ಯಾಶ್‌ಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ

ಮೇ 30 ರಂದು, ರೂಟ್ ಪ್ರಮಾಣಪತ್ರದ 20 ವರ್ಷಗಳ ಮಾನ್ಯತೆಯ ಅವಧಿಯು ಮುಕ್ತಾಯಗೊಂಡಿದೆ ಆಡ್ಟ್ರಸ್ಟ್ಇದು ಅನ್ವಯಿಸಲಾಗಿದೆ ಸೆಕ್ಟಿಗೊ (ಕೊಮೊಡೊ) ಅತಿದೊಡ್ಡ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ ಕ್ರಾಸ್-ಸೈನ್ಡ್ ಅನ್ನು ರಚಿಸಲು. ಹೊಸ USERTRust ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ತಮ್ಮ ಮೂಲ ಪ್ರಮಾಣಪತ್ರ ಸ್ಟೋರ್‌ಗೆ ಸೇರಿಸದ ಪರಂಪರೆಯ ಸಾಧನಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಗಾಗಿ ಕ್ರಾಸ್-ಸಹಿ ಮಾಡುವಿಕೆಯನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ.

AddTrust ಮೂಲ ಪ್ರಮಾಣಪತ್ರ ಅಸಮ್ಮತಿಯು OpenSSL ಮತ್ತು GnuTLS ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕ್ರ್ಯಾಶ್‌ಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ

ಸೈದ್ಧಾಂತಿಕವಾಗಿ, ಆಡ್‌ಟ್ರಸ್ಟ್ ಮೂಲ ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯವು ಲೆಗಸಿ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗೆ (ಆಂಡ್ರಾಯ್ಡ್ 2.3, ವಿಂಡೋಸ್ ಎಕ್ಸ್‌ಪಿ, ಮ್ಯಾಕ್ ಓಎಸ್ ಎಕ್ಸ್ 10.11, ಐಒಎಸ್ 9, ಇತ್ಯಾದಿ) ಹೊಂದಾಣಿಕೆಯ ಉಲ್ಲಂಘನೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ, ಏಕೆಂದರೆ ಕ್ರಾಸ್-ಸಿಗ್ನೇಚರ್‌ನಲ್ಲಿ ಬಳಸಲಾದ ಎರಡನೇ ಮೂಲ ಪ್ರಮಾಣಪತ್ರವು ಉಳಿದಿದೆ ವಿಶ್ವಾಸಾರ್ಹ ಮತ್ತು ಆಧುನಿಕ ಬ್ರೌಸರ್‌ಗಳು ನಂಬಿಕೆಯ ಸರಪಳಿಯನ್ನು ಪರಿಶೀಲಿಸುವಾಗ ಅದನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುತ್ತವೆ. ಅಭ್ಯಾಸದ ಮೇಲೆ ತೋರಿಸಿದರು OpenSSL 1.0.x ಮತ್ತು GnuTLS ಅನ್ನು ಒಳಗೊಂಡಂತೆ ಬ್ರೌಸರ್ ಅಲ್ಲದ TLS ಕ್ಲೈಂಟ್‌ಗಳಲ್ಲಿ ಅಡ್ಡ-ಸಹಿ ಪರಿಶೀಲನೆಯೊಂದಿಗೆ ತೊಂದರೆಗಳು. AddTrust ಮೂಲ ಪ್ರಮಾಣಪತ್ರಕ್ಕೆ ನಂಬಿಕೆಯ ಸರಪಳಿಯಿಂದ ಲಿಂಕ್ ಮಾಡಲಾದ ಸೆಕ್ಟಿಗೋ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸರ್ವರ್ ಬಳಸುತ್ತಿದ್ದರೆ ಪ್ರಮಾಣಪತ್ರವು ಹಳೆಯದಾಗಿದೆ ಎಂದು ಸೂಚಿಸುವ ದೋಷದೊಂದಿಗೆ ಸುರಕ್ಷಿತ ಸಂಪರ್ಕವನ್ನು ಇನ್ನು ಮುಂದೆ ಸ್ಥಾಪಿಸಲಾಗುವುದಿಲ್ಲ.

ಅಡ್ಡ ಸಹಿ ಮಾಡಿದ ಸೆಕ್ಟಿಗೋ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಆಧುನಿಕ ಬ್ರೌಸರ್‌ಗಳ ಬಳಕೆದಾರರು ಆಡ್‌ಟ್ರಸ್ಟ್ ಮೂಲ ಪ್ರಮಾಣಪತ್ರದ ಹಳೆಯದನ್ನು ಗಮನಿಸದಿದ್ದರೆ, ವಿವಿಧ ಮೂರನೇ-ಪಕ್ಷದ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಸರ್ವರ್-ಸೈಡ್ ಹ್ಯಾಂಡ್ಲರ್‌ಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳು ಪಾಪ್ ಅಪ್ ಆಗಲು ಪ್ರಾರಂಭಿಸಿದವು, ಇದು ಕಾರಣವಾಯಿತು ಉಲ್ಲಂಘನೆ работы ಘಟಕಗಳ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಗಾಗಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂವಹನ ಚಾನಲ್‌ಗಳನ್ನು ಬಳಸುವ ಅನೇಕ ಮೂಲಸೌಕರ್ಯಗಳು.

ಉದಾಹರಣೆಗೆ, ಇದ್ದವು ಪ್ರೋಬ್ಲೆಮ್ಗಳು ಡೆಬಿಯನ್ ಮತ್ತು ಉಬುಂಟುನಲ್ಲಿರುವ ಕೆಲವು ಪ್ಯಾಕೇಜ್ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಪ್ರವೇಶದೊಂದಿಗೆ (ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆ ದೋಷವನ್ನು ಸೃಷ್ಟಿಸಲು ಪ್ರಾರಂಭಿಸಿತು), "ಕರ್ಲ್" ಮತ್ತು "wget" ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸುವ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಿಂದ ವಿನಂತಿಗಳು ವಿಫಲಗೊಳ್ಳಲು ಪ್ರಾರಂಭಿಸಿದವು, Git ಬಳಸುವಾಗ ದೋಷಗಳನ್ನು ಗಮನಿಸಲಾಯಿತು, ಉಲ್ಲಂಘಿಸಲಾಗಿದೆ Roku ಸ್ಟ್ರೀಮಿಂಗ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ, ಹ್ಯಾಂಡ್ಲರ್‌ಗಳನ್ನು ಇನ್ನು ಮುಂದೆ ಕರೆಯಲಾಗುವುದಿಲ್ಲ ಪಟ್ಟಿ и ಡೇಟಾಡಾಗ್, ಪ್ರಾರಂಭವಾಯಿತು ಕುಸಿತಗಳು ಸಂಭವಿಸುತ್ತವೆ Heroku ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ, ನಿಲ್ಲಿಸಿದ OpenLDAP ಕ್ಲೈಂಟ್‌ಗಳು ಸಂಪರ್ಕಗೊಂಡಿವೆ, SMTPS ಮತ್ತು SMTP ಸರ್ವರ್‌ಗಳಿಗೆ STARTTLS ನೊಂದಿಗೆ ಮೇಲ್ ಕಳುಹಿಸುವಲ್ಲಿ ತೊಂದರೆಗಳು ಪತ್ತೆಯಾಗಿವೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, http ಕ್ಲೈಂಟ್‌ನೊಂದಿಗೆ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸುವ ವಿವಿಧ ರೂಬಿ, PHP ಮತ್ತು ಪೈಥಾನ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಗಮನಿಸಬಹುದು. ಬ್ರೌಸರ್ ಸಮಸ್ಯೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಎಪಿಫ್ಯಾನಿ, ಇದು ಜಾಹೀರಾತು ನಿರ್ಬಂಧಿಸುವ ಪಟ್ಟಿಗಳನ್ನು ಲೋಡ್ ಮಾಡುವುದನ್ನು ನಿಲ್ಲಿಸಿದೆ.

ಗೋ ಕಾರ್ಯಕ್ರಮಗಳು ಈ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ ಏಕೆಂದರೆ ಗೋ ಕೊಡುಗೆಗಳು ಸ್ವಂತ ಅನುಷ್ಠಾನ TLS.

ಎಂದು ಊಹಿಸಲಾಗಿತ್ತುಸಮಸ್ಯೆಯು ಹಳೆಯ ವಿತರಣಾ ಬಿಡುಗಡೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಡೆಬಿಯನ್ 9, ಉಬುಂಟು 16.04 ಸೇರಿದಂತೆ, RHEL 6/7) ಇದು ಸಮಸ್ಯಾತ್ಮಕ OpenSSL ಶಾಖೆಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಆದರೆ ಸಮಸ್ಯೆ ಸ್ವತಃ ಪ್ರಕಟವಾಯಿತು APT ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ ಡೆಬಿಯನ್ 10 ಮತ್ತು ಉಬುಂಟು 18.04/20.04 ರ ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, APT GnuTLS ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವುದರಿಂದ. ಸಮಸ್ಯೆಯ ತಿರುಳು ಏನೆಂದರೆ, ಅನೇಕ TLS/SSL ಲೈಬ್ರರಿಗಳು ಪ್ರಮಾಣಪತ್ರವನ್ನು ರೇಖೀಯ ಸರಪಳಿಯಾಗಿ ಪಾರ್ಸ್ ಮಾಡುತ್ತವೆ, ಆದರೆ RFC 4158 ರ ಪ್ರಕಾರ, ಪ್ರಮಾಣಪತ್ರವು ನಿರ್ದೇಶಿತ ವಿತರಿಸಿದ ವೃತ್ತಾಕಾರದ ಗ್ರಾಫ್ ಅನ್ನು ಬಹು ಟ್ರಸ್ಟ್ ಆಂಕರ್‌ಗಳೊಂದಿಗೆ ಪ್ರತಿನಿಧಿಸುತ್ತದೆ, ಅದನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕಾಗುತ್ತದೆ. OpenSSL ಮತ್ತು GnuTLS ನಲ್ಲಿನ ಈ ನ್ಯೂನತೆಯ ಬಗ್ಗೆ ಆಗಿತ್ತು ತಿಳಿದಿದೆ ಅನೇಕ ವರ್ಷಗಳ ಕಾಲ. OpenSSL ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಶಾಖೆ 1.1.1 ಮತ್ತು ಇನ್ ನಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ ಗ್ನುಟಿಎಲ್ಎಸ್ ಉಳಿದಿದೆ ಸರಿಪಡಿಸಲಾಗಿಲ್ಲ.

ಪರಿಹಾರವಾಗಿ, ಸಿಸ್ಟಮ್ ಸ್ಟೋರ್‌ನಿಂದ "AddTrust External CA ರೂಟ್" ಪ್ರಮಾಣಪತ್ರವನ್ನು ತೆಗೆದುಹಾಕಲು ಸೂಚಿಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, /etc/ca-certificates.conf ಮತ್ತು /etc/ssl/certs ನಿಂದ ತೆಗೆದುಹಾಕಿ, ತದನಂತರ "update-ca ಅನ್ನು ರನ್ ಮಾಡಿ -certificates -f -v"), ಅದರ ನಂತರ OpenSSL ಸಾಮಾನ್ಯವಾಗಿ ತನ್ನ ಭಾಗವಹಿಸುವಿಕೆಯೊಂದಿಗೆ ಅಡ್ಡ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. APT ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ ಅನ್ನು ಬಳಸುವಾಗ, ನಿಮ್ಮ ಸ್ವಂತ ಜವಾಬ್ದಾರಿಯಲ್ಲಿ ನೀವು ವೈಯಕ್ತಿಕ ವಿನಂತಿಗಳಿಗಾಗಿ ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .

ಸಮಸ್ಯೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಫೆಡೋರಾ и rhel ಕಪ್ಪುಪಟ್ಟಿಗೆ AddTrust ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸೇರಿಸಲು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ:

trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
ಅಪ್ಡೇಟ್-ಸಿಎ-ಟ್ರಸ್ಟ್ ಸಾರ

ಆದರೆ ಈ ವಿಧಾನ ಕೆಲಸ ಮಾಡುತ್ತಿಲ್ಲ GnuTLS ಗಾಗಿ (ಉದಾಹರಣೆಗೆ, wget ಉಪಯುಕ್ತತೆಯನ್ನು ಚಲಾಯಿಸುವಾಗ ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆ ದೋಷವು ಕಾಣಿಸಿಕೊಳ್ಳುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತದೆ).

ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ನೀವು ಮಾಡಬಹುದು ಬದಲಾಯಿಸಲು ಆದೇಶ ಕ್ಲೈಂಟ್‌ಗೆ ಸರ್ವರ್ ಕಳುಹಿಸಿದ ವಿಶ್ವಾಸಾರ್ಹ ಸರಪಳಿಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡುವುದು (“AddTrust External CA ರೂಟ್” ಗೆ ಸಂಬಂಧಿಸಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಟ್ಟಿಯಿಂದ ತೆಗೆದುಹಾಕಿದರೆ, ನಂತರ ಕ್ಲೈಂಟ್‌ನ ಪರಿಶೀಲನೆಯು ಯಶಸ್ವಿಯಾಗುತ್ತದೆ). ನಂಬಿಕೆಯ ಹೊಸ ಸರಪಳಿಯನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ರಚಿಸಲು, ನೀವು ಸೇವೆಯನ್ನು ಬಳಸಬಹುದು whatsmychaincert.com. ಸೆಕ್ಟಿಗೋ ಕೂಡ ಒದಗಿಸಲಾಗಿದೆ ಪರ್ಯಾಯ ಅಡ್ಡ-ಸಹಿ ಮಧ್ಯಂತರ ಪ್ರಮಾಣಪತ್ರ "AAA ಪ್ರಮಾಣಪತ್ರ ಸೇವೆಗಳು“, ಇದು 2028 ರವರೆಗೆ ಮಾನ್ಯವಾಗಿರುತ್ತದೆ ಮತ್ತು OS ನ ಹಳೆಯ ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.

ಸೇರ್ಪಡೆ: ಸಮಸ್ಯೆ ಕೂಡ ಪ್ರಾಯೋಗಿಕ LibreSSL ನಲ್ಲಿ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ