ProHoster > Blog > интернет жаңылыктары > IdenTrust тамыр сертификатынын мөөнөтү аяктагандыктан OpenBSD, DragonFly BSD жана Electronдо бузулуулар

IdenTrust тамыр сертификатынын мөөнөтү аяктагандыктан OpenBSD, DragonFly BSD жана Electronдо бузулуулар

Let's Encrypt CA тамыр сертификатына кайчылаш кол коюу үчүн колдонулган IdenTrust түпкү сертификатынын (DST Root CA X3) эскирилиши OpenSSL жана GnuTLS эски версияларын колдонгон долбоорлордо Let's Encrypt сертификатын текшерүүдө көйгөйлөрдү жаратты. Көйгөйлөр LibreSSL китепканасына да таасирин тийгизди, аны иштеп чыгуучулар Sectigo (Comodo) тастыктама органынын AddTrust тамыр сертификаты эскиргенден кийин пайда болгон мүчүлүштүктөр менен байланышкан мурунку тажрыйбаны эске алышкан жок.

Эске сала кетсек, OpenSSL релизинде 1.0.2 жана GnuTLS 3.6.14 релизине чейин, кол коюу үчүн колдонулган түпкү сертификаттардын бири эскирип калса, кайчылаш кол коюлган сертификаттарды туура иштетүүгө жол бербеген ката бар болчу. , башка жарактуулары ишеним чынжырчалары сакталган болсо да (Let's Encrypt учурда, IdenTrust тамыр сертификатынын эскиргени текшерүүгө жол бербейт, ал тургай система 2030-жылга чейин жарактуу Let's Encrypt'тин өз тамыр сертификатын колдосо да). Мүчүлүштүктүн өзөгү OpenSSL жана GnuTLS эски версиялары сертификатты сызыктуу чынжыр катары талдап чыгышкан, ал эми RFC 4158ге ылайык, сертификат эске алынышы керек болгон бир нече ишеним анкерлери бар багытталган бөлүштүрүлгөн тегерек графикти көрсөтө алат.

Мүчүлүштүктөрдү чечүү үчүн “DST Root CA X3” сертификатын система сактагычынан (/etc/ca-certificates.conf жана /etc/ssl/certs) жок кылуу сунушталып, андан кийин “жаңыртуу” буйругун аткаруу сунушталат. -ca-сертификаттары -f -v” "). CentOS жана RHELде "DST Root CA X3" сертификатын кара тизмеге кошсоңуз болот: Trust dump —фильтр "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust көчүрмөсү

IdenTrust түпкү тастыктамасынын мөөнөтү бүткөндөн кийин биз көргөн каталардын айрымдары:

  • OpenBSDде бинардык системанын жаңыртууларын орнотуу үчүн колдонулган syspatch утилитасы иштебей калды. OpenBSD долбоору бүгүн шашылыш түрдө 6.8 жана 6.9 бутактары үчүн патчтарды чыгарды, алар LibreSSLде кайчылаш кол коюлган сертификаттарды текшерүү менен көйгөйлөрдү чечет, ишеним чынжырындагы түпкү сертификаттардын бири мөөнөтү бүтүп калган. Көйгөйдү чечүү үчүн /etc/installurl дарегинде HTTPS'тен HTTP'ге өтүү сунушталат (бул коопсуздукка коркунуч туудурбайт, анткени жаңыртуулар кошумча санарип колтамга менен текшерилет) же альтернативалуу күзгүнү (ftp.usa.openbsd) тандоо. org, ftp.hostserver.de, cdn.openbsd.org). /etc/ssl/cert.pem файлынан мөөнөтү бүткөн DST Root CA X3 түпкү сертификатын да алып салсаңыз болот.
  • DragonFly BSDде DPorts менен иштөөдө ушундай көйгөйлөр байкалат. pkg пакет башкаргычын баштаганда, сертификатты текшерүү катасы пайда болот. Оңдоо бүгүн мастер, DragonFly_RELEASE_6_0 жана DragonFly_RELEASE_5_8 бутактарына кошулду. Чечим катары сиз DST Root CA X3 сертификатын алып салсаңыз болот.
  • Electron платформасына негизделген тиркемелерде Let's Encrypt сертификаттарын текшерүү процесси бузулган. Көйгөй 12.2.1, 13.5.1, 14.1.0, 15.1.0 жаңыртууларында чечилген.
  • GnuTLS китепканасынын эски версиялары менен байланышкан APT топтом башкаргычын колдонууда кээ бир дистрибьюторлор пакет репозиторийлерине кирүү көйгөйлөрүнө ээ. Debian 9га жаңыртылбаган GnuTLS пакети колдонулган көйгөй жабыркады, бул жаңыртууну өз убагында орнотпогон колдонуучулар үчүн deb.debian.org сайтына кирүүдө көйгөйлөргө алып келди (gnutls28-3.5.8-5+deb9u6 оңдоосу сунушталган) 17-сентябрда). Чечим катары, DST_Root_CA_X3.crt файлын /etc/ca-certificates.conf файлынан алып салуу сунушталат.
  • OPNsense брандмауэрлерин түзүү үчүн бөлүштүрүү комплектинде acme-кардар иштеши үзгүлтүккө учураган, бирок иштеп чыгуучулар патчты убагында чыгара алышкан эмес.
  • Көйгөй RHEL/CentOS 1.0.2деги OpenSSL 7k пакетине таасирин тийгизди, бирок бир жума мурун ca-certificates-7-7.el2021.2.50_72.noarch пакетине жаңыртуу RHEL 7 жана CentOS 9 үчүн түзүлгөн, андан IdenTrust күбөлүк алынып салынды, б.а. маселенин көрүнүшү алдын ала тосулган. Ушундай эле жаңыртуу бир жума мурун Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 жана Ubuntu 18.04 үчүн жарыяланган. Жаңыртуулар алдын ала чыгарылгандыктан, Let's Encrypt сертификаттарын текшерүү көйгөйү жаңыртууларды такай орнотпогон RHEL/CentOS жана Ubuntu эски бутактарынын колдонуучуларына гана таасирин тийгизди.
  • grpcдеги сертификатты текшерүү процесси бузулган.
  • Cloudflare Pages платформасын куруу ишке ашкан жок.
  • Amazon Web Services (AWS) тармагындагы маселелер.
  • DigitalOcean колдонуучулары маалымат базасына туташуу көйгөйлөрү бар.
  • Netlify булут платформасы кыйрады.
  • Xero кызматтарына кирүү көйгөйлөрү.
  • MailGun кызматынын Web API менен TLS байланышын орнотуу аракети ишке ашкан жок.
  • MacOS жана iOS версияларында бузулуулар (11, 13, 14), алар теориялык жактан көйгөйгө таасирин тийгизбеши керек болчу.
  • Catchpoint кызматтары ишке ашпай калды.
  • PostMan API'ге кирүү учурунда тастыктамаларды текшерүү катасы.
  • Guardian Firewall кыйрады.
  • monday.com колдоо барагы бузулган.
  • Cerb платформасы кыйрады.
  • Google Булуттагы Мониторингде иштөө убактысы текшерилбей калды.
  • Cisco Umbrella Secure Web Gateway ичинде сертификатты текшерүүдө маселе.
  • Bluecoat жана Palo Alto проксилерине туташуу көйгөйлөрү.
  • OVHcloud OpenStack API'ге туташууда көйгөйлөргө туш болуп жатат.
  • Shopify'да отчетторду түзүүдөгү көйгөйлөр.
  • Heroku API'ге кирүүдө көйгөйлөр бар.
  • Ledger Live менеджери бузулат.
  • Facebook Колдонмонун Иштеп чыгуучу куралдарында тастыктаманы текшерүү катасы.
  • Sophos SG UTMдеги көйгөйлөр.
  • cPanelде сертификатты текшерүүдөгү көйгөйлөр.

Source: opennet.ru

Комментарий кошуу