پروژه OpenSSL اصلاحاتی را ارائه کرده است که حاوی دو نقص با شدت بالا در کتابخانه رمزنگاری پرکاربرد خود است که میتواند منجر به انکار سرویس (DoS) و اجرای کد از راه دور شود.
مشکلاتی که بهعنوان CVE-2022-3602 و CVE-2022-3786 ردیابی میشوند[۱]، بهعنوان آسیبپذیریهای غلبه بر بافر توصیفشدهاند که میتوانند در طول تأیید گواهی X.509 با ارائه یک آدرس ایمیل ساختهشده خاص، فعال شوند.
OpenSSL در گزارشی برای CVE-2022-3786 گفت: “در یک کلاینت TLS، این میتواند با اتصال به یک سرور مخرب ایجاد شود. در یک سرور TLS، اگر سرور درخواست احراز هویت مشتری و اتصال یک سرویسگیرنده مخرب را داشته باشد، این میتواند فعال شود.”
OpenSSL یک پیادهسازی متنباز[۲] از پروتکلهای SSL و TLS است که برای ارتباطات ایمن استفاده میشود و در چندین سیستمعامل و طیف گستردهای از نرمافزارها ساخته شده است.
نسخههای ۳٫۰٫۰ تا ۳٫۰٫۶ کتابخانه تحت تأثیر نقصهای جدید هستند که در نسخه ۳٫۰٫۷ اصلاح شده است. شایانذکر است که نسخههای OpenSSL 1.x که معمولاً مستقر میشوند آسیبپذیر نیستند.
طبق دادههای به اشتراک گذاشتهشده توسط Censys، حدود ۷۰۶۲ هاست از ۳۰ اکتبر ۲۰۲۲ نسخه حساس OpenSSL را اجرا میکنند[۳] که اکثریت آنها در ایالاتمتحده، آلمان، ژاپن، چین، چک، بریتانیا، فرانسه، روسیه، کانادا و هلند قرار دارند.
درحالیکه CVE-2022-3602 در ابتدا بهعنوان یک آسیبپذیری بحرانی در نظر گرفته میشد[۴]، شدت آن از آن زمان به High کاهش یافته است[۵] و به استناد حفاظت از سرریز پشته در پلتفرمهای مدرن است. به محققان امنیتی Polar Bear و Viktor Dukhovni اعتبار داده شده است که CVE-2022-3602 و CVE-2022-3786 را در ۱۷ و ۱۸ اکتبر ۲۰۲۲ گزارش کردهاند.
پروژه OpenSSL همچنین اشاره کرد که اشکالات در OpenSSL 3.0.0 بهعنوان بخشی از عملکرد رمزگشایی punycode معرفیشدهاند[۶] که در حال حاضر برای پردازش محدودیتهای نام آدرس ایمیل در گواهیهای X.509 استفاده میشود.
باوجود تغییر در شدت، OpenSSL گفت که این مسائل را آسیبپذیری جدی میداند و کاربران آسیبدیده تشویق میشوند تا در اسرع وقت بهروزرسانی کنند.
نسخه ۳٫۰، نسخه فعلی OpenSSL، با سیستمعاملهای لینوکس[۷] مانند Ubuntu 22.04 LTS، CentOS، macOS Ventura و Fedora 36 و غیره همراه است[۸]. imageهای Container که با استفاده از نسخههای آسیبدیده لینوکس ساختهشدهاند نیز تحت تأثیر قرار میگیرند.
طبق گزارشی که توسط Docker منتشرشده است[۹]، تقریباً ۱۰۰۰ مخزن image ممکن است درDocker Official Image های مختلف و Docker Verified Publisher تحت تأثیر قرار گیرند.
آخرین نقص مهمی که OpenSSL به آن پرداخته در سپتامبر ۲۰۱۶ بود، زمانی که CVE-2016-6309 را بست[۱۰]، یک باگ use-after-free که میتواند منجر به خرابی یا اجرای کد دلخواه شود.
جعبهابزار نرمافزار OpenSSL بهطور قابلتوجهی تحت تأثیر Heartbleed (CVE-2014-0160) قرار گرفت[۱۱]، یک مشکل جدی مدیریت حافظه در اجرای برنامه افزودنی ضربان قلب TLS/DTLS، که مهاجمان را قادر میسازد بخشهایی از حافظه سرور هدف را بخوانند.
SentinelOne دراینباره گفت[۱۲]: “یک آسیبپذیری حیاتی در کتابخانه نرمافزاری مانند OpenSSL که بسیار مورداستفاده قرار میگیرد و برای امنیت دادهها در اینترنت بسیار اساسی است، آسیبپذیری است که هیچ سازمانی نمیتواند از آن چشمپوشی کند.”
منابع
[۱] https://www.openssl.org/news/vulnerabilities.html
[۲] https://thehackernews.com/2022/07/openssl-releases-patch-for-high.html
[۳] https://censys.io/critical-vulnerability-in-openssl/
[۴] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
[۵] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
[۶] https://en.wikipedia.org/wiki/Punycode
[۷] https://www.akamai.com/blog/security-research/openssl-vulnerability-how-to-effectively-prepare
[۸] https://snyk.io/blog/new-openssl-critical-vulnerability
[۹] https://www.docker.com/blog/security-advisory-critical-openssl-vulnerability/
[۱۰] https://nvd.nist.gov/vuln/detail/CVE-2016-6309
[۱۱] https://thehackernews.com/2017/01/heartbleed-openssl-vulnerability.html
[۱۲] https://www.sentinelone.com/blog/openssl-3-critical-vulnerabililty-what-do-organizations-need-to-do-now
[۱۳] https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html
ثبت ديدگاه