OpenSSL projesi, yaygın olarak kullanılan kriptografi kitaplığında hizmet reddi (DoS) ve uzaktan kod yürütülmesine neden olabilecek iki yüksek önemdeki kusuru içerecek şekilde düzeltmeler yaptı.
CVE-2022-3602 ve CVE-2022-3786 olarak izlenen sorunlar, özel hazırlanmış bir e-posta adresi sağlanarak X.509 sertifika doğrulaması sırasında tetiklenebilen arabellek taşması güvenlik açıkları olarak tanımlanmıştır.
OpenSSL, CVE-2022-3786 için bir danışma belgesinde “Bir TLS istemcisinde bu, kötü amaçlı bir sunucuya bağlanarak tetiklenebilir” dedi. “Bir TLS sunucusunda, sunucu istemci kimlik doğrulaması isterse ve kötü niyetli bir istemci bağlanırsa bu tetiklenebilir.”
OpenSSL, güvenli iletişim için kullanılan SSL ve TLS protokollerinin açık kaynaklı bir uygulamasıdır ve çeşitli işletim sistemlerinde ve çok çeşitli yazılımlarda pişirilir.
Kitaplığın 3.0.0 ila 3.0.6 sürümleri, 3.0.7 sürümünde düzeltilen yeni kusurlardan etkilenir. Yaygın olarak dağıtılan OpenSSL 1.x sürümlerinin savunmasız olmadığını belirtmekte fayda var.
Censys tarafından paylaşılan verilere göre, 30 Ekim 2022 itibariyle yaklaşık 7.062 ana bilgisayarın duyarlı bir OpenSSL sürümünü çalıştırdığı söyleniyor ve bunların çoğunluğu ABD, Almanya, Japonya, Çin, Çekya, Birleşik Krallık, Fransa, Rusya, Kanada ve Hollanda.
CVE-2022-3602 başlangıçta Kritik bir güvenlik açığı olarak ele alınırken, modern platformlardaki yığın taşması korumalarına atıfta bulunularak ciddiyeti Yüksek’e düşürüldü. Güvenlik araştırmacıları Polar Bear ve Viktor Dukhovni, 17 ve 18 Ekim 2022’de CVE-2022-3602 ve CVE-2022-3786’yı raporlamakla itibar kazandı.
OpenSSL Projesi ayrıca hataların OpenSSL 3.0.0’da X.509 sertifikalarındaki e-posta adresi adı kısıtlamalarını işlemek için kullanılan zayıf kod çözme işlevinin bir parçası olarak tanıtıldığını belirtti.
Önemdeki değişikliğe rağmen OpenSSL, “bu sorunların ciddi güvenlik açıkları olduğunu ve etkilenen kullanıcıların mümkün olan en kısa sürede yükseltme yapmaya teşvik edildiğini” söyledi.
OpenSSL’nin şu anki sürümü olan Sürüm 3.0, diğerlerinin yanı sıra Ubuntu 22.04 LTS, CentOS, macOS Ventura ve Fedora 36 gibi Linux işletim sistemi çeşitleriyle birlikte gelir. Etkilenen Linux sürümleri kullanılarak oluşturulan kapsayıcı görüntüleri de etkilenir.
Docker tarafından yayınlanan bir tavsiyeye göre, çeşitli Docker Resmi Görselleri ve Docker Verified Publisher görselleri arasında yaklaşık 1.000 görsel deposu etkilenebilir.
OpenSSL tarafından ele alınan son kritik kusur, Eylül 2016’da CVE-2016-6309’u kapattığı zamandı; bu, bir çökmeye veya rastgele kodun yürütülmesine neden olabilecek ücretsiz kullanım sonrası bir hataydı.
OpenSSL yazılım araç takımı en çok, TLS/DTLS kalp atışı uzantısının uygulanmasında, saldırganların hedef sunucunun belleğinin bölümlerini okumasını sağlayan ciddi bir bellek işleme sorunu olan Heartbleed’den (CVE-2014-0160) etkilendi.
SentinelOne, “OpenSSL gibi çok yaygın olarak kullanılan ve internetteki verilerin güvenliği için çok temel olan bir yazılım kitaplığındaki kritik bir güvenlik açığı, hiçbir kuruluşun göz ardı edemeyeceği bir şeydir.” Dedi.