John Leyden 01 Kasım 2022, 18:54 UTC
Güncelleme: 01 Kasım 2022 18:57 UTC
Punycode ile ilgili kusur logo testinde başarısız oluyor
OpenSSL’den çok beklenen bir güvenlik güncellemesi bugün (1 Kasım) geldi, ancak etkisi, geliştiricilerin başlangıçta korktuğundan çok daha az görünüyor.
OpenSSL 3.0.7, şifreleme kitaplığındaki (sırasıyla CVE-2022-3786 ve CVE-2022-3602 olarak izlenir) iki güvenlik açığını ele alır ve her ikisi de X.509 e-posta adresi arabellek taşmalarını içerir.
3.0.0 ile 3.0.6 arasındaki OpenSSL sürümleri, her ikisi de “kritik” olarak beklenen, ancak sonunda “yüksek” risk olarak sınıflandırılan kusurlardan etkilenir.
OpenSSL geliştiricileri tarafından bir SSS, “Hatalar, zayıf kod çözme işlevinin bir parçası olarak tanıtıldı (şu anda yalnızca X.509 sertifikalarındaki e-posta adresi adı kısıtlamalarını işlemek için kullanılıyor),” diye açıklıyor.
Şifrelemeyle ilgili en son haberleri ve analizleri yakalayın
Geçen hafta, OpenSSL geliştiricileri, sekiz yıl önceki kötü şöhretli Heartbleed güvenlik açığından (CVE-2014-0160) bu yana bu önem düzeyine ulaşan ilk sorun olan, yaklaşan “kritik” güvenlik açığı konusunda olağandışı uyarı adımları attı.
Heartbleed, saldırganların savunmasız sistemlerden gizli anahtarları, parolaları ve hassas kişisel bilgileri çalması için bir araç oluşturan bir bellek işleme hatasıydı.
Heartbleed yok mu?
En son kusurların başlangıçta Heartbleed ile karşılaştırılabilir bir uzaktan kod yürütme (RCE) riski oluşturduğu ortaya çıktı, ancak sonraki test çalışmaları, modern platformlardaki yığın taşma korumalarının potansiyel suistimalleri azalttığını gösterdi.
Ve bazı Linux dağıtımları için, yığın taşması yalnızca o anda kullanılmayan bir bellek bölümüne yol açar – saldırganın bakış açısından işe yaramaz.
ARKA FON Yaklaşan ‘kritik’ OpenSSL güncellemesi ateşli spekülasyonlara neden oluyor
Henüz tanımlanmamış diğer platformlar daha fazla risk altında olabilir, ancak şimdilik neredeyse her yerde bulunan kriptografik kitaplığa dayanan sistemlerin etkisi hizmet reddiyle (yani kilitlenen programlar) sınırlı gibi görünüyor.
Her iki güncelleme de yalnızca 2021’de piyasaya sürülen bir sürüm olan OpenSSL 3.0.x’i etkiler – tüm sorunun kapsamını sınırlayan başka bir faktör.
Logo yok
Kusurlardan herhangi birinin kötüye kullanıldığına dair bir gösterge yok, ancak yine de sistemleri OpenSSL 3.0.x’in savunmasız sürümlerine olası maruz kalma açısından denetlemek ve elbette yazılım yığınlarını güncellemek mantıklı. TLS sunucularını çalıştıran kullanıcılar, yama uygulamadan kısa bir geçici çözüm olarak TLS istemci kimlik doğrulamasını devre dışı bırakmayı düşünebilir.
Ayrıca Heartbleed tarzı başka bir güvenlik açığının etkisiyle ilgili endişeler nedeniyle herhangi bir yüksek alarm durumundan çekilmenin zamanı gelmiş olabilir.
Bu güvenlik açığı hiçbir şekilde damgalanmadı – belki de bazılarına göre nihai muhalefet. Geliştiriciler, “OpenSSL projesi her iki CVE için de logo oluşturmadı veya adlandırmadı” dedi.
ÖNERİLEN SQLite, 22 yıllık kod yürütmeyi, hizmet reddi güvenlik açığını yamalar