OpenSSL 3.0.1 അപ്‌ഡേറ്റ് അപകടസാധ്യത പരിഹരിക്കുന്നു

OpenSSL 3.0.1 ഉം 1.1.1m ഉം ഇപ്പോൾ ചെറിയ പതിപ്പുകൾക്ക് ലഭ്യമാണ്. പതിപ്പ് 3.0.1 ഒരു ദുർബലത പരിഹരിക്കുന്നു (CVE-2021-4044), കൂടാതെ രണ്ട് പതിപ്പുകളും മറ്റ് ഒരു ഡസൻ ബഗുകൾ പരിഹരിക്കുന്നു.

SSL/TLS ക്ലയന്റുകളുടെ ഇംപ്ലിമെന്റേഷനിൽ ഈ ദുർബലത നിലനിൽക്കുന്നു, കൂടാതെ സെർവർ ക്ലയന്റിലേക്ക് ട്രാൻസ്മിറ്റ് ചെയ്ത സർട്ടിഫിക്കറ്റ് പരിശോധിക്കാൻ വിളിക്കുന്ന X509_verify_cert() ഫംഗ്ഷൻ നൽകുന്ന നെഗറ്റീവ് പിശക് കോഡുകൾ libssl ലൈബ്രറി തെറ്റായി കൈകാര്യം ചെയ്യുന്നു എന്ന വസ്തുതയുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. ആന്തരിക പിശകുകൾ സംഭവിക്കുമ്പോൾ നെഗറ്റീവ് കോഡുകൾ തിരികെ നൽകും, ഉദാഹരണത്തിന്, ഒരു ബഫറിനായി മെമ്മറി അനുവദിക്കാൻ കഴിയാത്തപ്പോൾ. അത്തരമൊരു പിശക് തിരികെ ലഭിച്ചാൽ, SSL_connect() ഉം SSL_do_handshake() ഉം പോലുള്ള I/O ഫംഗ്ഷനുകളിലേക്കുള്ള തുടർന്നുള്ള കോളുകൾ പരാജയപ്പെടുന്നതിനും പിശക് കോഡ് SSL_ERROR_WANT_RETRY_VERIFY നും കാരണമാകും, ആപ്ലിക്കേഷൻ മുമ്പ് SSL_CTX_set_cert_verify_callback() എന്ന് വിളിച്ചിട്ടുണ്ടെങ്കിൽ മാത്രമേ ഇത് തിരികെ നൽകാവൂ.

മിക്ക ആപ്ലിക്കേഷനുകളും SSL_CTX_set_cert_verify_callback() എന്ന് വിളിക്കാത്തതിനാൽ, SSL_ERROR_WANT_RETRY_VERIFY പിശക് സംഭവിക്കുന്നത് തെറ്റായി വ്യാഖ്യാനിക്കപ്പെടുകയും ഒരു ക്രാഷ്, ഒരു ലൂപ്പ് അല്ലെങ്കിൽ മറ്റ് തെറ്റായ പെരുമാറ്റത്തിലേക്ക് നയിക്കുകയും ചെയ്യാം. OpenSSL 3.0 ലെ മറ്റൊരു ബഗുമായി സംയോജിപ്പിക്കുമ്പോൾ ഈ പ്രശ്നം ഏറ്റവും അപകടകരമാണ്, ഇത് X509_verify_cert() "സബ്ജക്റ്റ് ആൾട്ടർനേറ്റീവ് നെയിം" എക്സ്റ്റൻഷൻ ഇല്ലാതെ സർട്ടിഫിക്കറ്റുകൾ കൈകാര്യം ചെയ്യുമ്പോൾ ഒരു ആന്തരിക പിശകിന് കാരണമാകുന്നു, പക്ഷേ ഉപയോഗ നിയന്ത്രണങ്ങളിൽ നെയിം ബൈൻഡിംഗുകൾ ഉണ്ട്. ഈ സാഹചര്യത്തിൽ, ആക്രമണം സർട്ടിഫിക്കറ്റ് പ്രോസസ്സിംഗിലും TLS സെഷൻ സ്ഥാപനത്തിലും ആപ്ലിക്കേഷൻ-നിർദ്ദിഷ്ട അപാകതകൾക്ക് കാരണമാകും.

അവലംബം: opennet.ru