ProHoster > Блог > ayelujara iroyin > Awọn jamba ni OpenBSD, DragonFly BSD ati Electron nitori ipari ijẹrisi root IdenTrust

Awọn jamba ni OpenBSD, DragonFly BSD ati Electron nitori ipari ijẹrisi root IdenTrust

Ilọkuro ti ijẹrisi root IdenTrust (DST Root CA X3), ti a lo lati ṣe agbelebu-ami Jẹ ki Encrypt CA root ijẹrisi, ti fa awọn iṣoro pẹlu Jẹ ki a Encrypt ijẹrisi ijẹrisi ni awọn iṣẹ akanṣe nipa lilo awọn ẹya agbalagba ti OpenSSL ati GnuTLS. Awọn iṣoro tun kan ile-ikawe LibreSSL, awọn olupilẹṣẹ ti eyiti ko ṣe akiyesi iriri ti o kọja ti o ni nkan ṣe pẹlu awọn ikuna ti o dide lẹhin ijẹrisi root AddTrust ti Sectigo (Comodo) CA ti di ti atijo.

Jẹ ki a ranti pe ni awọn idasilẹ OpenSSL titi di ẹka 1.0.2 inclusive ati ni GnuTLS ṣaaju itusilẹ 3.6.14, kokoro kan wa ti ko gba laaye awọn iwe-ẹri ti o fowo si ni ọna ti o tọ ti ọkan ninu awọn iwe-ẹri root ti a lo fun iforukọsilẹ di igba atijọ. , Paapaa ti awọn miiran ti o wulo jẹ awọn ẹwọn igbẹkẹle ti o tọju (ninu ọran ti Jẹ ki Encrypt, aibikita ti ijẹrisi root IdenTrust ṣe idiwọ ijẹrisi, paapaa ti eto naa ba ni atilẹyin fun Jẹ ki Encrypt ti ijẹrisi root tirẹ, wulo titi di ọdun 2030). Itumọ ti kokoro naa ni pe awọn ẹya agbalagba ti OpenSSL ati GnuTLS ṣe atunto ijẹrisi naa bi pq laini, lakoko ti o ni ibamu si RFC 4158, ijẹrisi kan le ṣe aṣoju aworan ipin ipin ti o ni itọsọna pẹlu ọpọlọpọ awọn ìdákọró igbẹkẹle ti o nilo lati ṣe akiyesi.

Gẹgẹbi iṣẹ-ṣiṣe lati yanju ikuna, o ni imọran lati pa iwe-ẹri "DST Root CA X3" kuro lati ibi ipamọ eto (/etc/ca-certificates.conf ati /etc/ssl/certs), ati lẹhinna ṣiṣe aṣẹ naa "imudojuiwọn". -ca-awọn iwe-ẹri -f -v”). Lori CentOS ati RHEL, o le ṣafikun iwe-ẹri “DST Root CA X3” si atokọ dudu: igbẹkẹle dump — filter “pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | ṣii x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust jade

Diẹ ninu awọn ipadanu ti a ti rii ti o waye lẹhin ijẹrisi root IdenTrust ti pari:

  • Ni OpenBSD, ohun elo syspatch, ti a lo lati fi awọn imudojuiwọn eto alakomeji sori ẹrọ, ti dẹkun iṣẹ. Ise agbese OpenBSD loni ti tu awọn abulẹ jade ni kiakia fun awọn ẹka 6.8 ati 6.9 ti o ṣatunṣe awọn iṣoro ni LibreSSL pẹlu ṣayẹwo awọn iwe-ẹri ti o fowo si, ọkan ninu awọn iwe-ẹri gbongbo ninu pq igbẹkẹle eyiti o ti pari. Gẹgẹbi iṣẹ ṣiṣe fun iṣoro naa, o gba ọ niyanju lati yipada lati HTTPS si HTTP ni / ati be be lo / installurl (eyi ko ṣe aabo aabo, nitori awọn imudojuiwọn ni afikun nipasẹ ibuwọlu oni nọmba) tabi yan digi omiiran (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). O tun le yọ iwe-ẹri root DST Root CA X3 ti o ti pari kuro ni faili /etc/ssl/cert.pem.
  • Ni DragonFly BSD, awọn iṣoro ti o jọra ni a ṣe akiyesi nigba ṣiṣẹ pẹlu awọn DPorts. Nigbati o ba bẹrẹ oluṣakoso package pkg, aṣiṣe ijẹrisi ijẹrisi yoo han. A ṣe afikun atunṣe loni si oluwa, DragonFly_RELEASE_6_0 ati DragonFly_RELEASE_5_8 awọn ẹka. Bi iṣẹ-ṣiṣe, o le yọ ijẹrisi DST Root CA X3 kuro.
  • Ilana ti ijẹrisi Jẹ ki a Encrypt awọn iwe-ẹri ninu awọn ohun elo ti o da lori pẹpẹ Electron ti bajẹ. Iṣoro naa jẹ atunṣe ni awọn imudojuiwọn 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Diẹ ninu awọn pinpin ni awọn iṣoro iwọle si awọn ibi ipamọ package nigba lilo oluṣakoso package APT ti o ni nkan ṣe pẹlu awọn ẹya agbalagba ti ile-ikawe GnuTLS. Debian 9 ni ipa nipasẹ iṣoro naa, eyiti o lo idii GnuTLS ti ko ni paadi, eyiti o yori si awọn iṣoro nigbati o wọle si deb.debian.org fun awọn olumulo ti ko fi imudojuiwọn naa sori ẹrọ ni akoko (atunṣe gnutls28-3.5.8-5+deb9u6 ti a funni ni Oṣu Kẹsan ọjọ 17). Gẹgẹbi iṣẹ ṣiṣe, o gba ọ niyanju lati yọ DST_Root_CA_X3.crt kuro ni faili /etc/ca-certificates.conf.
  • Iṣiṣẹ ti acme-client ninu ohun elo pinpin fun ṣiṣẹda awọn ogiriina OPNsense jẹ idalọwọduro; iṣoro naa ti royin ni ilosiwaju, ṣugbọn awọn olupilẹṣẹ ko ṣakoso lati tu alemo kan silẹ ni akoko.
  • Iṣoro naa kan package OpenSSL 1.0.2k ni RHEL/CentOS 7, ṣugbọn ni ọsẹ kan sẹhin imudojuiwọn kan si ca-certificates-7-7.el2021.2.50_72.noarch package ti ipilẹṣẹ fun RHEL 7 ati CentOS 9, lati eyiti IdenTrust ijẹrisi ti yọ kuro, i.e. ifarahan ti iṣoro naa ti dina ni ilosiwaju. Imudojuiwọn ti o jọra ni a tẹjade ni ọsẹ kan sẹhin fun Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 ati Ubuntu 18.04. Niwọn igba ti awọn imudojuiwọn ti tu silẹ ni ilosiwaju, iṣoro pẹlu ṣiṣe ayẹwo Jẹ ki a Encrypt awọn iwe-ẹri kan awọn olumulo ti awọn ẹka agbalagba ti RHEL/CentOS ati Ubuntu ti ko fi awọn imudojuiwọn sori ẹrọ nigbagbogbo.
  • Ilana ijẹrisi ijẹrisi ni grpc ti bajẹ.
  • Cloudflare Pages Syeed kọ kuna.
  • Awọn oran ni Awọn iṣẹ Ayelujara ti Amazon (AWS).
  • Awọn olumulo DigitalOcean ni awọn iṣoro sisopọ si ibi ipamọ data.
  • Syeed awọsanma Netlify ti kọlu.
  • Awọn iṣoro wiwọle si awọn iṣẹ Xero.
  • Igbiyanju lati ṣe agbekalẹ asopọ TLS kan si API Wẹẹbu ti iṣẹ MailGun kuna.
  • Awọn ipadanu ni awọn ẹya ti macOS ati iOS (11, 13, 14), eyiti o jẹ imọ-jinlẹ ko yẹ ki o ni ipa nipasẹ iṣoro naa.
  • Awọn iṣẹ Catchpoint kuna.
  • Aṣiṣe ṣiṣe iṣeduro awọn iwe-ẹri nigbati o n wọle si PostMan API.
  • Ogiriina oluṣọ ti kọlu.
  • Oju-iwe atilẹyin monday.com ti bajẹ.
  • Syeed Cerb ti kọlu.
  • Ṣiṣayẹwo akoko ipari kuna ni Abojuto Awọsanma Google.
  • Ọrọ pẹlu ijẹrisi ijẹrisi ni Sisiko agboorun Secure Web Gateway.
  • Awọn iṣoro sisopọ si Bluecoat ati awọn aṣoju Palo Alto.
  • OVHcloud n ni awọn iṣoro sisopọ si OpenStack API.
  • Awọn iṣoro pẹlu ṣiṣe awọn ijabọ ni Shopify.
  • Awọn iṣoro n wọle si Heroku API.
  • Ledger Live Manager ipadanu.
  • Aṣiṣe ijẹrisi ijẹrisi ni Awọn irinṣẹ Olùgbéejáde Ohun elo Facebook.
  • Awọn iṣoro ni Sophos SG UTM.
  • Awọn iṣoro pẹlu ijẹrisi ijẹrisi ni cPanel.

orisun: opennet.ru

Fi ọrọìwòye kun