نئين بابت ڄاڻ (CVE-2020-1968) TLS پروٽوڪول ۾، ڪوڊنيم
۽ اجازت ڏئي ٿو، نادر حالتن ۾، هڪ ابتدائي پرائمري ڪي (پري ماسٽر) جو تعين ڪرڻ لاءِ، جيڪو استعمال ڪري سگھجي ٿو TLS ڪنيڪشن کي ڊڪرپٽ ڪرڻ لاءِ، بشمول HTTPS، جڏهن ٽرانزٽ ٽرئفڪ (MITM) کي روڪيندي. اهو نوٽ ڪيو وڃي ٿو ته حملو عملي عمل لاء تمام ڏکيو آهي ۽ هڪ نظرياتي نوعيت جو وڌيڪ آهي. حملي کي انجام ڏيڻ لاءِ، TLS سرور جي مخصوص تشڪيل ۽ سرور جي پروسيسنگ وقت کي بلڪل درست انداز ۾ ماپڻ جي صلاحيت گھربل آھي.
مسئلو سڌو سنئون TLS وضاحتن ۾ موجود آهي ۽ صرف DH ڪيئي ايڪسچينج پروٽوڪول (Diffie-Hellman, TLS_DH_*") جي بنياد تي سائفر استعمال ڪندي ڪنيڪشن کي متاثر ڪري ٿو. ECDH ciphers سان مسئلو نه ٿيندو آهي ۽ اهي محفوظ رهندا آهن. نسخو 1.2 تائين صرف TLS پروٽوڪول ڪمزور آهن؛ TLS 1.3 مسئلو کان متاثر نه ٿيو آهي. نقصان TLS جي عملن ۾ ٿئي ٿو جيڪي مختلف TLS ڪنيڪشنن ۾ DH ڳجهي ڪيٻي کي ٻيهر استعمال ڪن ٿا (اهو رويو تقريباً 4.4٪ Alexa Top 1M سرورز تي ٿئي ٿو).
OpenSSL 1.0.2e ۽ اڳوڻين رليزز ۾، DH پرائمري ڪنيڪشن سڀني سرور ڪنيڪشنن ۾ ٻيهر استعمال ڪئي ويندي جيستائين SSL_OP_SINGLE_DH_USE آپشن واضح طور تي مقرر نه ڪيو وڃي. OpenSSL 1.0.2f کان وٺي، DH پرائمري چيڪ صرف ان وقت استعمال ڪيو ويندو آهي جڏهن جامد DH سائفرز استعمال ڪندا آهن ("DH-*"، مثال طور "DH-RSA-AES256-SHA"). OpenSSL 1.1.1 ۾ ڪمزوري ظاهر نه ٿي ٿئي، ڇاڪاڻ ته هي برانچ DH پرائمري ڪيئي استعمال نٿو ڪري ۽ جامد DH سائفر استعمال نٿو ڪري.
جڏهن استعمال ڪندي DH ڪيئي مٽاسٽا جو طريقو، ڪنيڪشن جا ٻئي پاسا ٺاهيندا آهن بي ترتيب خانگي چابيون (هتان کان پوءِ ڪي ”ا“ ۽ ڪي ”ب“)، جنهن جي بنياد تي عوامي چابيون (ga mod p ۽ gb mod p) حساب ۽ موڪليا ويندا آهن. هر پارٽي کي عوامي چابيون حاصل ڪرڻ کان پوء، هڪ عام پرائمري چيڪ (gab mod p) ڳڻيو ويندو آهي، جيڪو سيشن ڪيچ ٺاهڻ لاء استعمال ڪيو ويندو آهي. ريڪون حملو توهان کي سائڊ چينل جي تجزيي ذريعي پرائمري ڪيچ جو تعين ڪرڻ جي اجازت ڏئي ٿو، حقيقت جي بنياد تي ته TLS وضاحتون نسخو 1.2 تائين جي تقاضا ڪن ٿيون ته پرائمري ڪي جي سڀني اڳواٽ null بائيٽز کي رد ڪيو وڃي ان ۾ شامل ڪيل حسابن کان اڳ.
ٽرنڪٽ ٿيل پرائمري ڪيچ سميت سيشن ڪيئي جنريشن جي فنڪشن ڏانهن منتقل ڪيو ويو آهي، جيڪو مختلف ڊيٽا کي پروسيس ڪرڻ وقت مختلف دير سان هيش فنڪشن تي ٻڌل آهي. سرور پاران ڪيل اهم عملن جي وقت کي درست طور تي ماپڻ حملي آور کي سراغ (اوريڪل) جو تعين ڪرڻ جي اجازت ڏئي ٿو جيڪو اهو فيصلو ڪرڻ ممڪن بڻائي ٿو ته ڇا پرائمري ڪيچ شروع کان شروع ٿئي ٿي يا نه. مثال طور، هڪ حملو ڪندڙ ڪلائنٽ پاران موڪليل عوامي ڪي (ga) کي روڪي سگهي ٿو، ان کي سرور ڏانهن ٻيهر منتقل ڪري ۽ طئي ڪري سگهي ٿو
ڇا نتيجي ۾ ابتدائي ڪيئي صفر کان شروع ٿئي ٿي.
پنهنجو پاڻ، هڪ بائيٽ جي ڪيچ جي وضاحت ڪرڻ ڪجهه به نه ڏيندو آهي، پر ڪنيڪشن جي ڳالهين دوران ڪلائنٽ طرفان منتقل ڪيل "ga" قدر کي مداخلت ڪندي، حملو ڪندڙ "ga" سان لاڳاپيل ٻين قدرن جو هڪ سيٽ ٺاهي سگهي ٿو ۽ انهن کي موڪلي ٿو. سرور الڳ ڪنيڪشن ڳالهين جي سيشن ۾. پيدا ڪرڻ ۽ موڪلڻ سان "gri*ga" قدر، هڪ حملو ڪندڙ، سرور جي جواب ۾ دير جي تبديلين جي تجزيي ذريعي، انهن قدرن جو تعين ڪري سگهي ٿو جيڪي صفر کان شروع ٿيندڙ پرائمري ڪيز حاصل ڪرڻ جي طرف وٺي وڃن ٿيون. اهڙن قدرن کي طئي ڪرڻ سان، حملو ڪندڙ ان لاءِ مساوات جو هڪ سيٽ ٺاهي سگهي ٿو ۽ اصل پرائمري ڪي ڳڻيو.
OpenSSL ڪمزوريون خطري جي گھٽ سطح، ۽ رليز 1.0.2w ۾ مشڪلاتي سائفرز “TLS_DH_*” کي منتقل ڪرڻ لاءِ درست ڪيو ويو آھي سائفرن جي ڪيٽيگريءَ ۾ غير مناسب سطح جي تحفظ سان (“ضعيف-ssl-ciphers”)، جيڪو ڊفالٽ طور بند ٿيل آھي. . Mozilla ڊولپرز ساڳيو ڪم ڪيو، فائر فاکس ۾ استعمال ٿيل NSS لائبريري ۾، DH ۽ DHE cipher suites. فائر فاکس 78 جي طور تي، مشڪلاتي سائفرز بند ٿيل آهن. DH لاءِ ڪروم سپورٽ 2016 ۾ واپس بند ڪئي وئي. BearSSL, BoringSSL, Botan, Mbed TLS ۽ s2n لائبرريون ان مسئلي کان متاثر نه ٿيون آھن ڇو ته اھي DH ciphers يا static variants جي DH ciphers کي سپورٽ نٿا ڪن.
اضافي مسئلا الڳ الڳ نوٽ ڪيا ويا آهن () F5 BIG-IP ڊوائيسز جي TLS اسٽيڪ ۾، حملي کي وڌيڪ حقيقي بڻائڻ. خاص طور تي، پرائمري ڪيچ جي شروعات ۾ هڪ صفر بائيٽ جي موجودگي ۾ ڊوائيسز جي رويي ۾ انحرافن جي نشاندهي ڪئي وئي آهي، جن کي حساب جي درست ويڪرائي کي ماپڻ بدران استعمال ڪري سگهجي ٿو.
جو ذريعو: opennet.ru