OpenSSL கிரிப்டோகிராஃபிக் லைப்ரரி 3.0.7 இன் சரியான வெளியீடு வெளியிடப்பட்டது, இது இரண்டு பாதிப்புகளை சரிசெய்கிறது. X.509 சான்றிதழில் உள்ள மின்னஞ்சல் புல சரிபார்ப்புக் குறியீட்டில் உள்ள இடையகப் பெருக்கத்தால் இரண்டு சிக்கல்களும் ஏற்படுகின்றன, மேலும் பிரத்தியேகமாக வடிவமைக்கப்பட்ட சான்றிதழைச் செயலாக்கும் போது குறியீடு செயல்படுத்தப்படுவதற்கு வழிவகுக்கும். பிழைத்திருத்தம் வெளியிடப்பட்ட நேரத்தில், ஓபன்எஸ்எஸ்எல் டெவலப்பர்கள் தாக்குபவர்களின் குறியீட்டை செயல்படுத்துவதற்கு வழிவகுக்கும் வேலைச் சுரண்டல் இருப்பதற்கான எந்த ஆதாரத்தையும் பதிவு செய்யவில்லை.
புதிய வெளியீட்டின் முன் வெளியீட்டு அறிவிப்பு ஒரு முக்கியமான பிரச்சினை இருப்பதைக் குறிப்பிட்டிருந்தாலும், உண்மையில், வெளியிடப்பட்ட புதுப்பிப்பில் பாதிப்பின் நிலை ஆபத்தான நிலைக்குக் குறைக்கப்பட்டது, ஆனால் முக்கியமான பாதிப்பு அல்ல. திட்டத்தில் ஏற்றுக்கொள்ளப்பட்ட விதிகளுக்கு இணங்க, சிக்கல் வித்தியாசமான உள்ளமைவுகளில் வெளிப்பட்டால் அல்லது நடைமுறையில் பாதிப்பை சுரண்டுவதற்கான குறைந்த நிகழ்தகவு இருந்தால், ஆபத்தின் அளவு குறைக்கப்படுகிறது.
இந்த வழக்கில், பல அமைப்புகளின் பாதிப்பு பற்றிய விரிவான பகுப்பாய்வு, சுரண்டலின் போது குறியீட்டை இயக்கும் திறன் பல தளங்களில் பயன்படுத்தப்படும் ஸ்டாக் ஓவர்ஃப்ளோ பாதுகாப்பு வழிமுறைகளால் தடுக்கப்பட்டது என்று முடிவு செய்ததால் தீவிர நிலை குறைக்கப்பட்டது. கூடுதலாக, சில லினக்ஸ் விநியோகங்களில் பயன்படுத்தப்படும் கிரிட் தளவமைப்பு, வரம்பிற்கு வெளியே செல்லும் 4 பைட்டுகளை அடுக்கின் அடுத்த இடையகத்தில் மிகைப்படுத்துகிறது, இது இன்னும் பயன்பாட்டில் இல்லை. இருப்பினும், குறியீட்டை இயக்க பயன்படுத்தக்கூடிய தளங்கள் இருக்கலாம்.
அடையாளம் காணப்பட்ட சிக்கல்கள்:
- CVE-2022-3602 - X.4 சான்றிதழில் பிரத்யேகமாக வடிவமைக்கப்பட்ட மின்னஞ்சல் முகவரியைக் கொண்ட புலத்தைச் சரிபார்க்கும் போது, ஆரம்பத்தில் முக்கியமானதாகக் காட்டப்பட்ட பாதிப்பு, 509-பைட் பஃபர் ஓவர்ஃப்ளோவுக்கு வழிவகுக்கிறது. TLS கிளையண்டில், தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் இணைக்கும்போது, பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். TLS சர்வரில், சான்றிதழைப் பயன்படுத்தி கிளையன்ட் அங்கீகாரம் பயன்படுத்தப்பட்டால், பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம். இந்த வழக்கில், சான்றிதழுடன் தொடர்புடைய நம்பிக்கைச் சங்கிலியை சரிபார்த்த பிறகு, பாதிப்பு கட்டத்தில் தோன்றும், அதாவது. தாக்குதலுக்கு சான்றிதழ் அதிகாரம் தாக்குபவர்களின் தீங்கிழைக்கும் சான்றிதழை சரிபார்க்க வேண்டும்.
- CVE-2022-3786 என்பது CVE-2022-3602 பாதிப்பைப் பயன்படுத்துவதற்கான மற்றொரு திசையன் ஆகும், இது சிக்கலைப் பகுப்பாய்வு செய்யும் போது கண்டறியப்பட்டது. "" கொண்ட தன்னிச்சையான எண்ணிக்கையிலான பைட்டுகளால் ஸ்டேக்கில் உள்ள இடையகத்தை நிரம்பி வழிவதற்கான சாத்தியக்கூறுகளை வேறுபாடுகள் குறைக்கின்றன. (அதாவது, தாக்குபவரால் நிரம்பி வழியும் உள்ளடக்கத்தை கட்டுப்படுத்த முடியாது மற்றும் பயன்பாட்டை செயலிழக்கச் செய்ய மட்டுமே சிக்கலைப் பயன்படுத்த முடியும்).
பாதிப்புகள் OpenSSL 3.0.x கிளையில் மட்டுமே தோன்றும் (3.0.x கிளையில் சேர்க்கப்பட்ட யூனிகோட் மாற்றுக் குறியீட்டில் (punycode) பிழை அறிமுகப்படுத்தப்பட்டது). OpenSSL 1.1.1 மற்றும் OpenSSL ஃபோர்க் லைப்ரரிகளான LibreSSL மற்றும் BoringSSL ஆகியவற்றின் வெளியீடுகள் சிக்கலால் பாதிக்கப்படவில்லை. அதே நேரத்தில், OpenSSL 1.1.1s மேம்படுத்தல் வெளியிடப்பட்டது, இதில் பாதுகாப்பு அல்லாத பிழை திருத்தங்கள் மட்டுமே உள்ளன.
OpenSSL 3.0 கிளையானது Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable போன்ற விநியோகங்களில் பயன்படுத்தப்படுகிறது. இந்த அமைப்புகளின் பயனர்கள் விரைவில் புதுப்பிப்புகளை நிறுவ பரிந்துரைக்கப்படுகிறார்கள் (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). SUSE Linux Enterprise 15 SP4 மற்றும் openSUSE Leap 15.4 இல், OpenSSL 3.0 உடன் தொகுப்புகள் விருப்பமாக கிடைக்கின்றன, கணினி தொகுப்புகள் 1.1.1 கிளையைப் பயன்படுத்துகின்றன. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 மற்றும் FreeBSD ஆகியவை OpenSSL 3.16.x கிளைகளில் உள்ளன.
ஆதாரம்: opennet.ru