OpenSSL’nin 3.0.7 Sürümü, yazılımın ilk kritik sorununu altı yıldır çözecektir.
OpenSSL’deki kritik bir sorun için bir düzeltme yolda ve 1 Kasım 2022’de 13:00 UTC ile 17:00 UTC arasındaki dört saatlik bir pencerede yayınlanacak. Sürüm 3.0.7, yazılımın 3 ile başlayan tüm sürümleri için kritik bir güvenlik açığını giderecektir. 1 ile başlayan sürümler etkilenmez. Yazılımın bu dalı için ayrı bir sürüm olan 1.1.1 sürümünün aynı gün için planlanması planlanmıştır ancak bu bir hata düzeltmesidir ve bu sorunla ilgili değildir.
Bu ön bildirim, kuruluşlara ve bireylere yaklaşan kritik güncellemeye hazırlanmaları için biraz zaman vermek üzere tasarlanmıştır:
Politikamız https://t.co/pNLA4Ce4yV insanlara bir danışma belgesini ayrıştırmaya hazır olduklarını bildikleri bir tarih vermek ve sorunun onları etkileyip etkilemediğini görmek. 3.0’daki değişikliklerin sayısı ve başka herhangi bir bağlam bilgisinin olmaması göz önüne alındığında, bu tür bir tarama pek olası değildir.
— Mark J Cox (@iamamoose) 26 Ekim 2022
Bu sürüm çok dikkat çekti çünkü bu, OpenSSL ekibinin 2014’te sorun önem kriterlerini uygulamaya koymasından bu yana bir sorunu yalnızca ikinci kez KRİTİK olarak işaretlemesi.
OpenSSL, güvenlik açıklarını yalnızca aşağıdaki ölçütleri karşılamaları halinde kritik olarak etiketler:
Bu, ortak yapılandırmaları etkiler ve bunlardan yararlanma olasılığı da yüksektir. Örnekler arasında, sunucu belleği içeriğinin önemli ölçüde ifşa edilmesi (potansiyel olarak kullanıcı ayrıntılarını ifşa etmesi), sunucu özel anahtarlarını tehlikeye atmak için uzaktan kolayca yararlanılabilen güvenlik açıkları veya genel durumlarda uzaktan kod yürütmenin olası olduğu kabul edilir. Bu sorunlar gizli tutulacak ve desteklenen tüm sürümlerin yeni bir sürümünü tetikleyecektir. Bunları en kısa sürede ele almaya çalışacağız.
OpenSSL projesi, yazılımını “genel amaçlı kriptografi ve güvenli iletişim için tam özellikli bir araç seti” olarak tanımlıyor – bir tür kriptografik İsviçre çakısı. Bağımsız bir uygulama olarak veya diğer uygulamalara gömülü olarak son derece yaygın olarak kullanılır. Linux, FreeBSD ve macOS’un tümü, bir sürümüyle birlikte gelir ve Windows’a kurulabilir.
Sürüm 3.0.0, bir yıldan biraz daha uzun bir süre önce, Eylül 2021’de yayınlandı. Sürüm 1, çok daha yaygın olarak kullanılmaya devam ediyor, ancak sürüm 3, CentOS Stream 9, Red Hat Enterprise Linux 9 (RHEL 9) dahil olmak üzere bir dizi popüler Linux dağıtımı tarafından kullanılıyor. ), Ubuntu 22.10, Ubuntu 22.04 LTS ve Fedora Rawhide.
Fedora Linux 37 sürümü, güvenlik açığı için düzeltmeler içerecek şekilde ertelenebilir ve diğer sorumlu satıcıların, yazılımlarına dahil edilen güncellenmiş sürümlere hızlı bir şekilde geçmesi muhtemeldir.
Dikkat: Yaklaşan kritik openssl güvenlik açığına yönelik düzeltmeleri entegre etmek için büyük olasılıkla resmi Fedora Linux 37 sürümünü atacağız. Bununla ilgili resmi karar yarın.
— Matthew Miller (@mattdm) 26 Ekim 2022
Bir komut satırına erişiminiz varsa, hangi sürümü kullandığınızı yumruklayarak keşfedebilirsiniz:
openssl version
OpenSSL kuruluysa, sürüm numarasını ve çıkış tarihini döndürür. Sürüm numaranız 3 ile başlıyorsa, bu kritik sorun sizi etkiler. Bu kontrole ek olarak, standart olmayan kurulumları araştırmanız gerekebilir ve OpenSSL içeren yazılımlar veya cihazlar da çalıştırıyor olabilirsiniz. Yazılım tedarikçilerinizden, özellikle de İnternet’e yönelik yazılım veya donanım sağlayanlardan gelen iletişimlere dikkat edin.
CRITICAL derecesine sahip diğer tek OpenSSL sorunu, 2016’da CVE-2016-6309 idi. Yine de en büyük OpenSSL sorunu, OpenSSL’nin önem kriterlerinden önce gelen Heartbleed idi. Heartbleed, uzaktaki saldırganların hassas verileri açığa çıkarmasına izin verdi ve olaydan yıllar sonra bile sorunlara yol açmaya devam etti. İnternetin gönüllüler tarafından yürütülen küçük ve modası geçmiş projelere bağımlılığını ortaya çıkardı ve OpenSSL’nin karmaşık kod tabanını temizlemeye çalışan LibreSSL ve BoringSSL gibi çatallar ortaya çıkardı.
Ek önemli bilgiler ortaya çıktıkça bu gönderiyi güncelleyeceğiz.
2022-10-30 Güncellemesi, Kitle kaynaklı satıcı listesi
Pierre-Olivier Blu-Mocaer GitHub’da OpenSSL sürüm 3’ü kullanarak kitle kaynaklı bir yazılım listesi oluşturdu.