انتشار وصله برای دو آسیب‌پذیری جدید با شدت بالا توسط OpenSSL

پروژه OpenSSL اصلاحاتی را ارائه کرده است که حاوی دو نقص با شدت بالا در کتابخانه رمزنگاری پرکاربرد خود است که می‌تواند منجر به انکار سرویس (DoS) و اجرای کد از راه دور شود.

مشکلاتی که به‌عنوان CVE-2022-3602 و CVE-2022-3786 ردیابی می‌شوند[۱]، به‌عنوان آسیب‌پذیری‌های غلبه بر بافر توصیف‌شده‌اند که می‌توانند در طول تأیید گواهی X.509 با ارائه یک آدرس ایمیل ساخته‌شده خاص، فعال شوند.

OpenSSL در گزارشی برای CVE-2022-3786 گفت: “در یک کلاینت TLS، این می‌تواند با اتصال به یک سرور مخرب ایجاد شود. در یک سرور TLS، اگر سرور درخواست احراز هویت مشتری و اتصال یک سرویس‌گیرنده مخرب را داشته باشد، این می‌تواند فعال شود.”

OpenSSL یک پیاده‌سازی متن‌باز[۲] از پروتکل‌های SSL و TLS است که برای ارتباطات ایمن استفاده می‌شود و در چندین سیستم‌عامل و طیف گسترده‌ای از نرم‌افزارها ساخته ‌شده است.

نسخه‌های ۳٫۰٫۰ تا ۳٫۰٫۶ کتابخانه تحت تأثیر نقص‌های جدید هستند که در نسخه ۳٫۰٫۷ اصلاح شده است. شایان‌ذکر است که نسخه‌های OpenSSL 1.x که معمولاً مستقر می‌شوند آسیب‌پذیر نیستند.

طبق داده‌های به اشتراک گذاشته‌شده توسط Censys، حدود ۷۰۶۲ هاست از ۳۰ اکتبر ۲۰۲۲ نسخه حساس OpenSSL را اجرا می‌کنند[۳] که اکثریت آن‌ها در ایالات‌متحده، آلمان، ژاپن، چین، چک، بریتانیا، فرانسه، روسیه، کانادا و هلند قرار دارند.

درحالی‌که CVE-2022-3602 در ابتدا به‌عنوان یک آسیب‌پذیری بحرانی در نظر گرفته می‌شد[۴]، شدت آن از آن زمان به High کاهش یافته است[۵] و به استناد حفاظت از سرریز پشته در پلتفرم‌های مدرن است. به محققان امنیتی Polar Bear و Viktor Dukhovni اعتبار داده شده است که CVE-2022-3602 و CVE-2022-3786 را در ۱۷ و ۱۸ اکتبر ۲۰۲۲ گزارش کرده‌اند.

پروژه OpenSSL همچنین اشاره کرد که اشکالات در OpenSSL 3.0.0 به‌عنوان بخشی از عملکرد رمزگشایی punycode معرفی‌شده‌اند[۶] که در حال حاضر برای پردازش محدودیت‌های نام آدرس ایمیل در گواهی‌های X.509 استفاده می‌شود.

باوجود تغییر در شدت، OpenSSL گفت که این مسائل را آسیب‌پذیری جدی می‌داند و کاربران آسیب‌دیده تشویق می‌شوند تا در اسرع وقت به‌روزرسانی کنند.

نسخه ۳٫۰، نسخه فعلی OpenSSL، با سیستم‌عامل‌های لینوکس[۷] مانند Ubuntu 22.04 LTS، CentOS، macOS Ventura و Fedora 36 و غیره همراه است[۸]. imageهای Container که با استفاده از نسخه‌های آسیب‌دیده لینوکس ساخته‌شده‌اند نیز تحت تأثیر قرار می‌گیرند.

طبق گزارشی که توسط Docker منتشرشده است[۹]، تقریباً ۱۰۰۰ مخزن image ممکن است درDocker Official Image های مختلف و Docker Verified Publisher تحت تأثیر قرار گیرند.

آخرین نقص مهمی که OpenSSL به آن پرداخته در سپتامبر ۲۰۱۶ بود، زمانی که CVE-2016-6309 را بست[۱۰]، یک باگ use-after-free که می‌تواند منجر به خرابی یا اجرای کد دلخواه شود.

جعبه‌ابزار نرم‌افزار OpenSSL به‌طور قابل‌توجهی تحت تأثیر Heartbleed (CVE-2014-0160) قرار گرفت[۱۱]، یک مشکل جدی مدیریت حافظه در اجرای برنامه افزودنی ضربان قلب TLS/DTLS، که مهاجمان را قادر می‌سازد بخش‌هایی از حافظه سرور هدف را بخوانند.

SentinelOne دراین‌باره گفت[۱۲]: “یک آسیب‌پذیری حیاتی در کتابخانه نرم‌افزاری مانند OpenSSL که بسیار مورداستفاده قرار می‌گیرد و برای امنیت داده‌ها در اینترنت بسیار اساسی است، آسیب‌پذیری است که هیچ سازمانی نمی‌تواند از آن چشم‌پوشی کند.”

منابع

[۱] https://www.openssl.org/news/vulnerabilities.html

[۲] https://thehackernews.com/2022/07/openssl-releases-patch-for-high.html

[۳] https://censys.io/critical-vulnerability-in-openssl/

[۴] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html

[۵] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

[۶] https://en.wikipedia.org/wiki/Punycode

[۷] https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare

[۸] https://snyk.io/blog/new-openssl-critical-vulnerability

[۹] https://www.docker.com/blog/security-advisory-critical-openssl-vulnerability/

[۱۰] https://nvd.nist.gov/vuln/detail/CVE-2016-6309

[۱۱] https://thehackernews.com/2017/01/heartbleed-openssl-vulnerability.html