ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > IdenTrust මූල සහතිකය කල් ඉකුත් වීම හේතුවෙන් OpenBSD, DragonFly BSD සහ Electron හි බිඳ වැටීම්

IdenTrust මූල සහතිකය කල් ඉකුත් වීම හේතුවෙන් OpenBSD, DragonFly BSD සහ Electron හි බිඳ වැටීම්

Let's Encrypt CA මූල සහතිකය හරස්-අත්සන් කිරීමට භාවිතා කරන IdenTrust මූල සහතිකය (DST Root CA X3) අවලංගු කිරීම, OpenSSL සහ GnuTLS හි පැරණි අනුවාද භාවිතා කරන ව්‍යාපෘතිවල සහතිකය සත්‍යාපනය කරමු. ගැටළු LibreSSL පුස්තකාලයට ද බලපෑවේ, Sectigo (Comodo) CA හි AddTrust මූල සහතිකය යල්පැන ගිය පසු ඇති වූ අසාර්ථකත්වයන් හා සම්බන්ධ අතීත අත්දැකීම් සංවර්ධකයින් විසින් සැලකිල්ලට නොගත්හ.

OpenSSL ශාඛාව 1.0.2 ඇතුළුව නිකුත් කරන ලද අතර 3.6.14 නිකුත් කිරීමට පෙර GnuTLS හි, අත්සන් කිරීම සඳහා භාවිතා කරන ලද එක් මූල සහතිකයක් යල් පැන ගිය හොත් හරස් අත්සන් කරන ලද සහතික නිවැරදිව සැකසීමට ඉඩ නොදෙන දෝෂයක් ඇති බව අපි සිහිපත් කරමු. , වෙනත් වලංගු ඒවා විශ්වාස දාමයන් සංරක්ෂණය කර තිබුණද (Let's Encrypt සම්බන්ධයෙන්, IdenTrust මූල සහතිකයේ යල්පැන යාම සත්‍යාපනය වළක්වයි, පද්ධතියට Let's Encrypt ගේම මූල සහතිකය සඳහා සහය ඇතත්, 2030 දක්වා වලංගු වේ). දෝෂයේ සාරාංශය නම්, OpenSSL සහ GnuTLS හි පැරණි අනුවාද මඟින් සහතිකය රේඛීය දාමයක් ලෙස විග්‍රහ කර ඇති අතර, RFC 4158 අනුව, සහතිකයක් මගින් සැලකිල්ලට ගත යුතු බහුවිධ විශ්වාස නැංගුරම් සහිත සෘජු බෙදා හරින ලද චක්‍රලේඛ ප්‍රස්ථාරයක් නියෝජනය කළ හැක.

අසාර්ථකත්වය විසඳීම සඳහා විසඳුමක් ලෙස, පද්ධති ගබඩාවෙන් (/etc/ca-certificates.conf සහ /etc/ssl/certs) “DST Root CA X3” සහතිකය මකා දැමීමට යෝජනා කර, ඉන්පසු “update” විධානය ක්‍රියාත්මක කරන්න. -ca-සහතික -f -v" "). CentOS සහ RHEL මත, ඔබට “DST Root CA X3” සහතිකය අසාදු ලේඛනයට එක් කළ හැක: Trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

IdenTrust මූල සහතිකය කල් ඉකුත් වූ පසු සිදු වූ සමහර බිඳ වැටීම්:

  • OpenBSD හි, ද්විමය පද්ධති යාවත්කාලීන ස්ථාපනය කිරීමට භාවිතා කරන syspatch උපයෝගීතාව, වැඩ කිරීම නතර කර ඇත. OpenBSD ව්‍යාපෘතිය අද හදිසියේ 6.8 සහ 6.9 ශාඛා සඳහා පැච් නිකුත් කරන ලද අතර එය LibreSSL හි හරස් අත්සන් කරන ලද සහතික පරීක්ෂා කිරීමේ ගැටළු නිරාකරණය කරයි, විශ්වාස දාමයේ එක් මූල සහතිකයක් කල් ඉකුත් වී ඇත. ගැටලුව සඳහා විසඳුමක් ලෙස, /etc/installurl හි HTTPS සිට HTTP වෙත මාරු කිරීම නිර්දේශ කරනු ලැබේ (මෙය ආරක්ෂාවට තර්ජනයක් නොවේ, යාවත්කාලීන කිරීම් අතිරේකව ඩිජිටල් අත්සනක් මගින් සත්‍යාපනය කර ඇත) හෝ විකල්ප දර්පණයක් තෝරන්න (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). ඔබට /etc/ssl/cert.pem ගොනුවෙන් කල් ඉකුත් වූ DST Root CA X3 මූල සහතිකය ඉවත් කළ හැක.
  • DragonFly BSD හි, DPorts සමඟ වැඩ කිරීමේදී සමාන ගැටළු නිරීක්ෂණය කරනු ලැබේ. pkg පැකේජ කළමනාකරු ආරම්භ කරන විට, සහතික සත්‍යාපන දෝෂයක් දිස්වේ. නිවැරදි කිරීම අද මාස්ටර්, DragonFly_RELEASE_6_0 සහ DragonFly_RELEASE_5_8 ශාඛා වෙත එක් කරන ලදී. විසඳුමක් ලෙස, ඔබට DST Root CA X3 සහතිකය ඉවත් කළ හැකිය.
  • ඉලෙක්ට්‍රෝන වේදිකාව මත පදනම් වූ යෙදුම්වල සහතික සංකේතනය කරමු සත්‍යාපනය කිරීමේ ක්‍රියාවලිය කැඩී ඇත. 12.2.1, 13.5.1, 14.1.0, 15.1.0 යාවත්කාලීන කිරීම් වලදී ගැටළුව විසඳා ඇත.
  • GnuTLS පුස්තකාලයේ පැරණි අනුවාද සමඟ සම්බන්ධිත APT පැකේජ කළමනාකරු භාවිතා කරන විට සමහර බෙදාහැරීම් වලට පැකේජ ගබඩා වෙත ප්‍රවේශ වීමේ ගැටළු ඇත. නියමිත වේලාවට යාවත්කාලීන ස්ථාපනය නොකළ පරිශීලකයින් සඳහා deb.debian.org වෙත ප්‍රවේශ වීමේදී ගැටළු ඇති කරන ලද, නොගැලපෙන GnuTLS පැකේජයක් භාවිතා කරන ලද ගැටළුවෙන් Debian 9 බලපෑවේය (gnutls28-3.5.8-5+deb9u6 නිවැරදි කිරීම පිරිනමන ලදී. සැප්තැම්බර් 17). විසඳුමක් ලෙස, /etc/ca-certificates.conf ගොනුවෙන් DST_Root_CA_X3.crt ඉවත් කිරීම නිර්දේශ කෙරේ.
  • OPNsense ෆයර්වෝල් නිර්මාණය කිරීම සඳහා බෙදාහැරීමේ කට්ටලයේ acme-Client හි ක්‍රියාකාරිත්වය අඩාල විය; ගැටලුව කල්තියා වාර්තා කරන ලදී, නමුත් සංවර්ධකයින් නියමිත වේලාවට පැච් එකක් මුදා හැරීමට සමත් නොවීය.
  • ගැටළුව RHEL/CentOS 1.0.2 හි OpenSSL 7k පැකේජයට බලපෑ නමුත් සතියකට පෙර ca-certificates-7-7.el2021.2.50_72.noarch පැකේජයට යාවත්කාලීන කිරීමක් RHEL 7 සහ CentOS 9 සඳහා උත්පාදනය කරන ලදී, එයින් IdenTrust සහතිකය ඉවත් කරන ලදී, i.e. ගැටලුවේ ප්රකාශනය කල්තියා අවහිර විය. මීට සතියකට පෙර Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 සහ Ubuntu 18.04 සඳහා සමාන යාවත්කාලීනයක් ප්‍රකාශයට පත් කරන ලදී. යාවත්කාලීනයන් කල්තියා නිකුත් කර ඇති බැවින්, සහතික පත්‍ර සංකේතනය කරමු පරීක්ෂා කිරීමේ ගැටලුව බලපෑවේ නිතිපතා යාවත්කාලීන ස්ථාපනය නොකරන RHEL/CentOS සහ Ubuntu හි පැරණි ශාඛා භාවිතා කරන්නන්ට පමණි.
  • grpc හි සහතික සත්‍යාපන ක්‍රියාවලිය කැඩී ඇත.
  • Cloudflare Pages වේදිකාව ගොඩනැගීම අසාර්ථක විය.
  • Amazon Web Services (AWS) හි ගැටළු
  • DigitalOcean පරිශීලකයින්ට දත්ත සමුදායට සම්බන්ධ වීමේ ගැටළු තිබේ.
  • Netlify වලාකුළු වේදිකාව බිඳ වැටී ඇත.
  • Xero සේවාවන් වෙත ප්‍රවේශ වීමේ ගැටළු.
  • MailGun සේවාවේ Web API වෙත TLS සම්බන්ධතාවයක් පිහිටුවීමට ගත් උත්සාහය අසාර්ථක විය.
  • macOS සහ iOS (11, 13, 14) අනුවාදවල බිඳ වැටීම්, න්‍යායාත්මකව ගැටලුවට බලපෑමක් නොවිය යුතුය.
  • කැච්පොයින්ට් සේවා අසාර්ථක විය.
  • PostMan API වෙත පිවිසීමේදී සහතික සත්‍යාපනය කිරීමේ දෝෂයකි.
  • ගාඩියන් ෆයර්වෝල් බිඳ වැටී ඇත.
  • monday.com සහාය පිටුව කැඩී ඇත.
  • Cerb වේදිකාව කඩා වැටී ඇත.
  • Google Cloud Monitoring තුළ අතිකාල පරීක්ෂාව අසාර්ථක විය.
  • Cisco Umbrella Secure Web Gateway හි සහතික සත්‍යාපනය පිළිබඳ ගැටළුවක්.
  • Bluecoat සහ Palo Alto ප්‍රොක්සි වෙත සම්බන්ධ වීමේ ගැටළු.
  • OVHCloud OpenStack API වෙත සම්බන්ධ වීමේ ගැටළු ඇත.
  • Shopify හි වාර්තා උත්පාදනය කිරීමේ ගැටළු.
  • Heroku API වෙත පිවිසීමේ ගැටළු තිබේ.
  • Ledger Live Manager බිඳ වැටේ.
  • Facebook App Developer Tools හි සහතික සත්‍යාපන දෝෂයකි.
  • Sophos SG UTM හි ගැටළු.
  • cPanel හි සහතික සත්‍යාපනය පිළිබඳ ගැටළු.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න