Açık kaynaklı şifreleme kitaplığında OpenSSL Projesi tarafından yakın zamanda keşfedilen ve yamalanan iki yüksek önem düzeyine sahip güvenlik açığı bulunmaktadır.
İletişim kanallarının ve HTTPS bağlantılarının şifrelenmesi, bu kriptografik kitaplığın kullanılmasıyla sağlanır. OpenSSL sürüm 3.0.7’de, etkilenen OpenSSL sürümü 3.0.0 ve üstü iken bu iki ciddi güvenlik açığı giderildi.
Yüksek Önem Derecesi Güvenlik Açıkları
Aşağıda iki yüksek önemdeki güvenlik açığından bahsettik:-
CVE-2022-3602: Bu, çökmelere neden olabilen veya RCE saldırılarının gerçekleşmesine izin verebilen yığın arabelleğinin rastgele 4 baytlık taşmasıdır.
“Bu, sertifika zinciri imza doğrulamasından sonra gerçekleşir ve bir CA’nın kötü amaçlı sertifikayı imzalamasını veya uygulamanın, güvenilir bir yayıncıya giden bir yol oluşturamamasına rağmen sertifika doğrulamaya devam etmesini gerektirir. Bir saldırgan, yığında saldırgan tarafından kontrol edilen dört baytı aşmak için kötü niyetli bir e-posta adresi oluşturabilir.” OpenSSL dedi.
Bu kusur OpenSSL 3.0.7’de düzeltilmiştir ve aşağıdaki sürümleri etkiler: –
- 3.0.0
- 3.0.1
- 3.0.2
- 3.0.3
- 3.0.4
- 3.0.5
- 3.0.6
CVE-2022-3786: Hizmet reddi durumuna yol açabilecek ve kötü niyetli e-posta adresleri aracılığıyla tehdit aktörleri tarafından istismar edilebilecek bir arabellek taşması.
“Saldırgan, “ içeren rastgele sayıda baytı aşmak için bir sertifikada kötü niyetli bir e-posta adresi oluşturabilir. yığında karakter (ondalık 46). Bu arabellek taşması bir çökmeye neden olabilir (hizmet reddine neden olur). Bir TLS istemcisinde bu, kötü amaçlı bir sunucuya bağlanarak tetiklenebilir.”
Bu kusur OpenSSL 3.0.7’de düzeltilmiştir ve aşağıdaki sürümleri etkiler: –
- 3.0.0
- 3.0.1
- 3.0.2
- 3.0.3
- 3.0.4
- 3.0.5
- 3.0.6
Hangi Kuruluşların Bilmesi Gerekiyor?
Bu zafiyetin “kritik” bir zafiyet olacağı beklentisiyle, ancak RCE’nin ortak senaryolarda ortaya çıkacağı düşünülürse bu zafiyetin ön duyurusu yapıldı. Bundan sonra, OpenSSL Projesi, bu güvenlik açıklarının “yüksek” önem düzeyine indirildiğini belirtmek için danışma belgesini revize etti.
OpenSSL’nin güvenlik açıklarının ayrıntıları, duyurulmasından bu yana herkese açık hale getirildi, bu nedenle, genel ve özel depolarınızdan herhangi birinin etkilenip etkilenmediğini belirlemenin zamanı geldi.
Bu sorunu çözmek için Docker, hem yüksek önemdeki OpenSSL güvenlik açıklarına atıfta bulunan bir yer tutucu oluşturdu.
Yapmanız gereken web tarayıcınızda Docker’ın “Image Vulnerability Database”i açmak ve ardından portalda “Vulnerability search” sekmesini seçmek.
Şimdi savunmasız paketi bulmak için arama çubuğunda aşağıdaki terimi aramanız gerekiyor: –
Güvenlik Tedbiri
25 Ekim’den bu yana, tüm kuruluşlara ve BT yöneticilerine, kullanıma sunulacağı zaman OpenSSL 3.0.7 ile yama yapmak için hassas örnekleri taramaları talimatı verildi.
30 Ekim 2022 itibariyle OpenSSL kullandıklarını yayınlayan 1.793.111 benzersiz ana bilgisayar olduğu bildiriliyor. Kitaplığın duyarlı sürümlerini çalıştıran ana bilgisayarların sayısı nispeten düşüktür, yaklaşık 7.062 olduğu tahmin edilmektedir.
Ev sahiplerinin bulunduğu en yaygın ülkeler arasında şunlar vardı:-
- Birleşik Devletler
- Almanya
- Japonya
- Çin
- Çekya
- Birleşik Krallık
- Fransa
- Rusya
- Kanada
- Hollanda
OpenSSL projesi ayrıca, yamalar uygulanana kadar TLS sunucularının yöneticilerinin veya operatörlerinin TLS istemci kimlik doğrulamasını hemen devre dışı bırakmasını şiddetle tavsiye ettikleri bir güvenlik önlemi önerdi.
Güvenlik sorunlarını önlemek için OpenSSL’nin derhal 3.0.7 sürümüne güncellenmesi şiddetle tavsiye edilir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin