27 Ekim 2022 Perşembe günü, OpenSSL kriptografi kitaplığı geliştiricileri, yüksek önemdeki bir güvenlik açığını gidermek için 1 Kasım Salı günü yaklaşan bir kritik güncelleme hakkında bir ön uyarı yayınladı. Şimdi, düzeltme yayınlandı.
Daha önce güvenlik açığının o zamandan beri en kötüsü olarak düşünüldüğünü belirtmekte fayda var. 2014 yılında kalp krizi geçirdi.
OpenSSL nedir?
OpenSSL, internet ve ağlar üzerinden veri şifreleme için sunucular ve uygulamalar tarafından kullanılan önemli bir yazılım kitaplığıdır. Temel olarak, güvenli iletişim sağlamak için TLS ve SSL şifreleme protokollerinin açık kaynaklı bir uygulamasıdır. Tarayıcınızda internette gezinirken web adresinizin sol tarafında bir kilit düğmesi görebileceğiniz gibi. OpenSSL’nin yaptığı budur.
OpenSSL’de Tanımlanan 2 Güvenlik Açığı
Bilgin olsun, Infosec araştırmacıları OpenSSL platformunda iki hata tespit etti. OpenSSL’lere göre güvenlik danışmanlığıilk kusur olarak izlenir CVE-2022-3602. Yığın üzerinde tehdit aktörleri tarafından kontrol edilen 4 baytın taşması için bir şifreleme X.509 sertifikasıyla doğrulanmış kötü niyetli uzun bir e-posta kimliğiyle kullanılabilir; bu, sertifika doğrulanırsa uygulamayı veya sunucuyu çökmeye veya uzaktan kod yürütülmesine neden olur .
Ancak bunun, kötü amaçlı sertifikayı imzalamak için bir CA’ya veya güvenilir bir verene bir yol oluşturamasa bile sertifika doğrulamaya devam etmek için uygulamaya ihtiyacı vardır. Saldırgan kontrolü ele geçirirse, program akışını ele geçirmek için üzerine yazılan bayları kullanmak için yığını ayarlayabilir.
Aynı zamanda yüksek önem derecesine sahip bir güvenlik açığı olan ikinci hata şu şekilde izlenir: CVE-2022-3786 ve OpenSSL sürüm 3.0.7’de düzeltilmiştir. İlki gibi, arabellek taşmasını tetikler ve sertifika imzalandıktan/kabul edildikten sonra uygulamanın veya sunucunun çökmesine neden olur. Saldırgan, sertifikada kötü niyetli bir e-posta kimliği oluşturabilir ve “” içeren keyfi bayt sayısını aşabilir.” yığındaki karakter (ondalık 46)”, danışma belgesinde bir çökme ve hizmet reddine neden oldu.
Yama Ayrıntıları
Proje sahipleri, önce kritik olarak kategorize edilen ve daha sonra tüm OpenSSL 3.x kurulumlarını etkileyen yüksek önemde bir arabellek taşması hatası olarak kategorize edilen OpenSSL güvenlik açığı hakkında geçen hafta uyarıda bulunmuştu.
Ancak geliştiriciler, hatanın uzaktan kod yürütülmesine izin verme olasılığının düşük olduğundan emindi. Bu nedenle, kritik güvenlik açıkları için önemli bir kriter olan yaygın durumlarda uzaktan kod yürütme yoluyla istismar edilemediği için 1 Kasım 2022’de yüksek önem düzeyine düşürüldü. Ekip, yamanın ayrıntılı bir açıklamasını yayınlamadı, ancak kullanıcıları yamayı gerektiği gibi uygulamaya çağırdı.
Hataları Değerlendirmek
BT güvenlik araştırmacısına göre Marcus Hutchins, her iki hata da “OpenSSL dağıtımlarının küçük bir alt kümesini” etkiledi. Bu, 3.0.0-3.0.6 sürümünü kullanan yazılımı içerir. Bu sürümleri kullanan işletim sistemleri, uygulamalar ve sunucular, hataları düzeltmek için OpenSSL 3.0.7’ye yükseltilmelidir.
“OpenSSL 3.0.0 Eylül 2021’de piyasaya sürüldüğü için önceki sürümlerden çok daha az yaygın. Çok yakın tarihli piyasaya çıkış tarihi göz önüne alındığında, sabit kodlanmış OpenSSL sürümlerine sahip eski cihazların savunmasız olması pek olası değildir,” dedi Hutchins. Blog yazısı.
Alakalı haberler
- GitHub, depoları saldırganlara maruz bırakan kritik Kusurları düzeltir
- AttachMe – Oracle, Bulut Altyapısındaki “Ağır” Kusurları Düzeltiyor
- GPS Tracker’daki Kritik Kusur, Hackerların Araçları Uzaktan Kontrol Etmesine İzin Veriyor
- Kritik Amazon Ring Güvenlik Açığı Kamera Kayıtlarını Ortaya Çıkarabilir
- Kritik güvenlik açığı, bilgisayar korsanlarının Firefox Android tarayıcısını ele geçirmesine izin verdi