အားနည်းချက်နှစ်ခုကို ပြင်ဆင်ပေးသည့် OpenSSL ကုဒ်ဝှက်ဂစ်ဂျစ်တိုက် 3.0.7 ၏ မှန်ကန်သောထုတ်ဝေမှုကို ထုတ်ဝေလိုက်ပါပြီ။ ပြဿနာနှစ်ခုလုံးသည် X.509 အသိအမှတ်ပြုလက်မှတ်များရှိ အီးမေးလ်အကွက်တွင် အကျုံးဝင်သောကုဒ်များကြားခံများ ပြည့်လျှံနေခြင်းကြောင့်ဖြစ်ပြီး အထူးဘောင်ခတ်ထားသော လက်မှတ်ကို လုပ်ဆောင်သည့်အခါ ကုဒ်လုပ်ဆောင်မှုဆီသို့ ဦးတည်သွားနိုင်သည်။ ပြုပြင်မှုအား ထုတ်ဝေသည့်အချိန်တွင်၊ OpenSSL developer များသည် တိုက်ခိုက်သူ၏ကုဒ်ကို အကောင်အထည်ဖော်ရန် ဦးတည်နိုင်သည့် အလုပ်လုပ်သော exploit ရှိနေခြင်း၏ အထောက်အထားကို မှတ်တမ်းတင်ထားခြင်း မရှိပါ။
ထုတ်ဝေမှုအသစ်၏ အကြိုကြေငြာချက်တွင် အရေးကြီးသောပြဿနာတစ်ခု ရှိနေသည်ကို ဖော်ပြနေသော်လည်း၊ အမှန်တကယ်တွင်၊ ထွက်ရှိလာသောအပ်ဒိတ်တွင် အားနည်းချက်၏အခြေအနေကို အန္တရာယ်ရှိသောအဆင့်သို့ လျှော့ချလိုက်သော်လည်း အရေးကြီးသောအားနည်းချက်မဟုတ်ပေ။ ပရောဂျက်တွင် ချမှတ်ထားသော စည်းမျဉ်းများနှင့်အညီ၊ ပြဿနာသည် ပုံမှန်ပုံစံဖွဲ့စည်းပုံများအတွင်း သို့မဟုတ် လက်တွေ့တွင် အားနည်းချက်ကို အသုံးချရန် ဖြစ်နိုင်ခြေနည်းပါက ပြဿနာသည် အန္တရာယ်အဆင့်ကို လျှော့ချမည်ဖြစ်သည်။
ဤကိစ္စတွင်၊ အဖွဲ့အစည်းအများအပြားမှ အားနည်းချက်ကိုအသေးစိတ်ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် အသုံးချမှုအတွင်း ကုဒ်လုပ်ဆောင်နိုင်မှုကို ပလက်ဖောင်းများစွာတွင်အသုံးပြုသည့် stack overflow ကာကွယ်ရေးယန္တရားများဖြင့် ပိတ်ဆို့ထားသောကြောင့် ဤကိစ္စတွင်၊ ပြင်းထန်မှုအဆင့်ကို လျှော့ချခဲ့သည်။ ထို့အပြင်၊ အချို့သော Linux ဖြန့်ဝေမှုများတွင်အသုံးပြုသည့် ဂရစ်ပုံစံပုံစံသည် အသုံးမပြုရသေးသည့် stack ရှိနောက်ထပ်ကြားခံတွင်ထည့်သွင်းထားသည့် 4 bytes များကို ရလဒ်များဖြစ်ပေါ်စေသည်။ သို့သော်၊ ကုဒ်ကို execute လုပ်ရန် အသုံးချနိုင်သော platform များရှိနေနိုင်သည် ။
ဖော်ထုတ်ထားသော ပြဿနာများ-
- CVE-2022-3602 - အားနည်းချက်တစ်ခုသည် အစပိုင်းတွင် အရေးကြီးကြောင်းတင်ပြပြီး X.4 အသိအမှတ်ပြုလက်မှတ်ရှိ ကွက်လပ်တစ်ခုအား စစ်ဆေးသောအခါတွင် 509-byte ကြားခံအလျှံများဆီသို့ ဦးတည်သွားစေသည်။ TLS ကလိုင်းယင့်တွင်၊ တိုက်ခိုက်သူ ထိန်းချုပ်ထားသော ဆာဗာသို့ ချိတ်ဆက်သည့်အခါ အားနည်းချက်ကို အသုံးချနိုင်သည်။ TLS ဆာဗာတွင်၊ လက်မှတ်များကို အသုံးပြု၍ သုံးစွဲသူ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို အသုံးပြုပါက အားနည်းချက်ကို အသုံးချနိုင်သည်။ ဤကိစ္စတွင်၊ လက်မှတ်နှင့်ဆက်စပ်သော ယုံကြည်မှုကွင်းဆက်ကို အတည်ပြုပြီးနောက် အားနည်းချက်သည် ပေါ်လာသည်။ တိုက်ခိုက်မှုသည် တိုက်ခိုက်သူ၏ အန္တရာယ်ရှိသော လက်မှတ်ကို လက်မှတ်အာဏာပိုင်မှ အတည်ပြုရန် လိုအပ်သည်။
- CVE-2022-3786 သည် ပြဿနာကို ခွဲခြမ်းစိတ်ဖြာစဉ်တွင် ရှာဖွေဖော်ထုတ်ထားသော CVE-2022-3602 အားနည်းချက်ကို အသုံးချရန်အတွက် အခြား vector တစ်ခုဖြစ်သည်။ ကွဲပြားမှုများသည် “” ပါရှိသော မထင်သလို bytes အရေအတွက်ဖြင့် stack ပေါ်ရှိ ကြားခံတစ်ခု ပြည့်လျှံသွားနိုင်သည့် ဖြစ်နိုင်ခြေအထိ ကွဲလွဲသည်။ (ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် ပြည့်လျှံနေသော အကြောင်းအရာများကို ထိန်းချုပ်၍မရပါ၊ ပြဿနာကို အပလီကေးရှင်းကို ပျက်စီးသွားစေရန်အတွက်သာ အသုံးပြုနိုင်သည်။)
အားနည်းချက်များသည် OpenSSL 3.0.x ဌာနခွဲတွင်သာ ပေါ်နေပါသည် (ချွတ်ယွင်းချက်ကို ယူနီကုဒ်ပြောင်းလဲခြင်းကုဒ် (punycode) တွင် 3.0.x ဌာနခွဲသို့ ထည့်ထားသည်)။ OpenSSL 1.1.1 နှင့် OpenSSL fork စာကြည့်တိုက်များ LibreSSL နှင့် BoringSSL တို့သည် ပြဿနာအတွက် သက်ရောက်မှုမရှိပါ။ တစ်ချိန်တည်းမှာပင်၊ လုံခြုံရေးမဟုတ်သော ချို့ယွင်းချက်ပြင်ဆင်မှုများသာ ပါဝင်သည့် OpenSSL 1.1.1s အပ်ဒိတ်ကို ထုတ်ပြန်ခဲ့သည်။
OpenSSL 3.0 ဌာနခွဲကို Ubuntu 22.04၊ CentOS Stream 9၊ RHEL 9၊ OpenMandriva 4.2၊ Gentoo၊ Fedora 36၊ Debian Testing/Unstable ကဲ့သို့သော ဖြန့်ဖြူးမှုများတွင် အသုံးပြုသည်။ ဤစနစ်များ၏အသုံးပြုသူများသည် (Debian၊ Ubuntu၊ RHEL၊ SUSE/openSUSE၊ Fedora၊ Arch) ကို အမြန်ဆုံးထည့်သွင်းရန် အကြံပြုထားသည်။ SUSE Linux Enterprise 15 SP4 နှင့် openSUSE Leap 15.4 တွင် OpenSSL 3.0 ပါသော ပက်ကေ့ဂျ်များကို ရွေးချယ်နိုင်သည်၊ စနစ်ပက်ကေ့ချ်များသည် 1.1.1 ဌာနခွဲကို အသုံးပြုပါသည်။ Debian 1၊ Arch Linux၊ Void Linux၊ Ubuntu 11၊ Slackware၊ ALT Linux၊ RHEL 20.04၊ OpenWrt၊ Alpine Linux 8 နှင့် FreeBSD OpenSSL 3.16.x အကိုင်းအခက်များတွင် ကျန်ရှိနေပါသည်။
source: opennet.ru