ProHoster > بلاګ > انټرنیټ خبرونه > په OpenBSD، DragonFly BSD او Electron کې د IdenTrust روټ سند پای ته رسیدو له امله حادثې

په OpenBSD، DragonFly BSD او Electron کې د IdenTrust روټ سند پای ته رسیدو له امله حادثې

د IdenTrust روټ سند (DST Root CA X3) تخریب، چې د Let's Encrypt CA روټ سند د لاسلیک کولو لپاره کارول کیږي، د OpenSSL او GnuTLS زړو نسخو په کارولو سره په پروژو کې د Let's Encrypt سند تصدیق سره ستونزې رامینځته کړې. ستونزو د لیبر ایس ایس ایل کتابتون هم اغیزمن کړ، د دې پراختیا کونکو د ناکامۍ سره تړلې پخوانۍ تجربې په پام کې نه نیولې چې د سیکټیګو (کوموډو) سند ادارې د AddTrust روټ سند متروک کیدو وروسته رامینځته شوې.

راځئ چې په یاد ولرو چې په OpenSSL کې د څانګې 1.0.2 پورې ټول شموله خپریږي او په GnuTLS کې د 3.6.14 خوشې کیدو دمخه، یوه ستونزه وه چې د کراس لاسلیک شوي سندونو ته اجازه نه ورکوي چې په سمه توګه پروسس شي که چیرې د لاسلیک لپاره کارول شوي د روټ سندونو څخه یو زوړ شي ، حتی که نور معتبر د باور زنځیرونه ساتل شوي وي (د لیټ انکریپټ په حالت کې ، د IdenTrust د روټ سند متروک کیدل د تایید مخه نیسي ، حتی که سیسټم د Let's Encrypt د خپل روټ سند لپاره ملاتړ ولري ، تر 2030 پورې اعتبار لري). د بګ لنډیز دا دی چې د OpenSSL او GnuTLS زړو نسخو سند د خطي زنځیر په توګه پارس کړی ، پداسې حال کې چې د RFC 4158 په وینا ، یو سند کولی شي د ډیری باور اینکرونو سره د لارښود توزیع شوي سرکلر ګراف استازیتوب وکړي چې باید په پام کې ونیول شي.

د ناکامۍ د حل لپاره د حل په توګه، دا وړاندیز کیږي چې د سیسټم ذخیره کولو څخه د "DST روټ CA X3" سند حذف کړئ (/etc/ca-certificates.conf او /etc/ssl/certs)، او بیا د "update" کمانډ پرمخ وړئ. -ca-سندونه -f -v""). په CentOS او RHEL کې، تاسو کولی شئ په تور لیست کې "DST Root CA X3" سند اضافه کړئ: د اعتماد ډمپ - فلټر "pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust استخراج

ځینې ​​حادثې چې موږ ولیدل چې د IdenTrust روټ سند پای ته رسیدو وروسته پیښ شوي:

  • په OpenBSD کې، د سیسپچ یوټیلیټ، د بائنری سیسټم تازه معلوماتو نصبولو لپاره کارول کیږي، کار بند کړی دی. د OpenBSD پروژې نن په سمدستي توګه د 6.8 او 6.9 څانګو لپاره پیچونه خپاره کړل چې په LibreSSL کې د کراس لاسلیک شوي سندونو چک کولو سره ستونزې حل کوي ، د باور سلسله کې یو له اصلي سندونو څخه چې پای یې پای ته رسیدلی. د ستونزې د حل په توګه، دا سپارښتنه کیږي چې د HTTPS څخه HTTP ته په /etc/installurl کې بدل کړئ (دا امنیت ته ګواښ نه کوي، ځکه چې تازه معلومات د ډیجیټل لاسلیک لخوا تایید شوي) یا یو بدیل عکس غوره کړئ (ftp.usa.openbsd. org، ftp.hostserver.de، cdn.openbsd.org). تاسو کولی شئ د /etc/ssl/cert.pem فایل څخه د پای ته رسیدو DST روټ CA X3 روټ سند هم لرې کړئ.
  • په DragonFly BSD کې، ورته ستونزې لیدل کیږي کله چې د DPports سره کار کوي. کله چې د pkg بسته مدیر پیل کړئ ، د سند تصدیق کولو خطا څرګندیږي. فکس نن ورځ ماسټر، DragonFly_RELEASE_6_0 او DragonFly_RELEASE_5_8 څانګو کې اضافه شوی. د کار په توګه، تاسو کولی شئ د DST روټ CA X3 سند لرې کړئ.
  • د الیکټرون پلیټ فارم پراساس غوښتنلیکونو کې د Let's Encrypt سندونو چک کولو پروسه مات شوې. ستونزه په تازه 12.2.1، 13.5.1، 14.1.0، 15.1.0 کې حل شوې.
  • ځینې ​​​​توزیعونه د بسته بندۍ ذخیره کولو کې ستونزې لري کله چې د GnuTLS کتابتون د زړو نسخو سره تړاو لرونکي APT بسته مدیر کاروي. Debian 9 د ستونزې له امله اغیزمن شوی و، کوم چې د ناپیل شوي GnuTLS کڅوړه کارولې، کوم چې د هغو کاروونکو لپاره د deb.debian.org ته د لاسرسي په وخت کې ستونزې رامینځته کړې چې په وخت کې یې اوسمهال نه دی نصب کړی (د gnutls28-3.5.8-5+deb9u6 فکس وړاندیز شوی و. د سپټمبر په 17). د حل په توګه، دا سپارښتنه کیږي چې DST_Root_CA_X3.crt له /etc/ca-certificates.conf فایل څخه لرې کړئ.
  • د OPNsense فایر والونو رامینځته کولو لپاره د توزیع کټ کې د اکیم کلینټ عملیات ګډوډ شوي؛ ستونزه دمخه راپور شوې وه ، مګر پراختیا کونکو په وخت کې د پیچ ​​خوشې کولو اداره نه وه کړې.
  • ستونزې په RHEL/CentOS 1.0.2 کې د OpenSSL 7k کڅوړه اغیزه کړې ، مګر یوه اونۍ دمخه د ca-certificates-7-7.el2021.2.50_72.noarch بسته کې تازه د RHEL 7 او CentOS 9 لپاره رامینځته شوی و ، له کوم څخه چې IdenTrust سند لرې شوی، د مثال په توګه د ستونزې څرګندونه دمخه بنده شوې وه. ورته تازه معلومات یوه اونۍ دمخه د اوبنټو 16.04، اوبنټو 14.04، اوبنټو 21.04، اوبنټو 20.04 او اوبنټو 18.04 لپاره خپور شوی و. له هغه وخته چې تازه معلومات دمخه خپاره شوي وو، د لیټس انکریپټ سندونو چک کولو ستونزه یوازې د RHEL/CentOS او اوبنټو پخوانیو څانګو کاروونکو اغیزه کړې چې په منظم ډول یې تازه معلومات ندي نصب کړي.
  • په grpc کې د سند تصدیق پروسه مات شوې.
  • د Cloudflare پاڼو پلیټ فارم جوړول ناکام شو.
  • په ایمیزون ویب خدماتو (AWS) کې مسلې.
  • د ډیجیټل اوشین کارونکي د ډیټابیس سره وصل کولو کې ستونزې لري.
  • د Netlify کلاوډ پلیټ فارم خراب شوی.
  • د Xero خدماتو ته د لاسرسي ستونزې.
  • د میل ګون خدمت ویب API سره د TLS اتصال رامینځته کولو هڅه ناکامه شوه.
  • د macOS او iOS (11، 13، 14) نسخو کې کریشونه، کوم چې په تیوریکي توګه باید د ستونزې لخوا اغیزمن شوي نه وي.
  • د کیچ پوائنټ خدمتونه ناکام شول.
  • د پوسټ مین API ته د لاسرسي پرمهال د سندونو تصدیق کولو کې تېروتنه.
  • ګارډین فایروال سقوط کړی.
  • د monday.com ملاتړ پاڼه مات شوې.
  • د سیرب پلیټ فارم ټکر شوی.
  • د ګوګل کلاوډ څارنه کې د اپټایم چیک ناکام شو.
  • په Cisco Umbrella Secure Web Gateway کې د سند تصدیق کولو مسله.
  • د Bluecoat او Palo Alto پراکسي سره د نښلولو ستونزې.
  • OVHcloud د OpenStack API سره وصل کولو کې ستونزې لري.
  • په Shopify کې د راپورونو په جوړولو کې ستونزې.
  • د هیروکو API ته لاسرسي کې ستونزې شتون لري.
  • د لیجر ژوندی مدیر کریش شو.
  • د فېسبوک اپلیکیشن جوړونکي وسیلو کې د سند تصدیق کولو تېروتنه.
  • په Sophos SG UTM کې ستونزې.
  • په cPanel کې د سند تصدیق کولو ستونزې.

سرچینه: opennet.ru

Add a comment