Dünya çapında en yaygın kullanılan şifreleme kitaplıklarından biri olan OpenSSL kısa süre önce yayınlandı üç yeni güvenlik güncellemesi sekiz güvenlik açığını kapatmak için.
Güncellemeler, kuruluşun desteklediği mevcut iki açık kaynak sürümünün yanı sıra, yalnızca premium destek için ödeme yapan müşterilere sunulan eski 1.0.2 sürüm serisini kapsar.
OpenSSL 3.0 serisinin güncellenmiş sürümleri sürüm 3.0.8, OpenSSL 1.1.1 serisi sürüm 1.1.1t ve OpenSSL 1.0.2 serisi sürüm 1.0.2zg olacaktır.
“Eski sürümlerin neden üç rakam ve sonunda bir harf olduğunu merak ediyorsanız, bunun nedeni OpenSSL projesinin eskiden dört parçalı sürüm tanımlayıcıları olması ve sondaki harfin 26 alt sürümü destekleyebilecek bir sayaç görevi görmesidir. dedi Sophos analiz raporu yamalar.
“1.0.2 sürümüne olanlardan da görebileceğiniz gibi, 26 alt sürümün yeterli olmadığı ortaya çıktı ve Z-for-Zulu sürümünden sonra ne yapılacağı konusunda bir ikilem bıraktı: Kafa karıştırıcı bir şekilde bozulan Alpha-Alpha’ya geri dönün. alfabetik sıralama veya sadece Z-for-Zulu ile devam edin ve A’dan Z’ye bir alt alt sürüm döngüsü başlatın.
Eski sürümler üç rakamlı ve harfli bir sisteme sahipti, ancak OpenSSL ekibi şimdi XYZ üç rakamlı versiyonlama sistemini benimsedi; mevcut sürüm 3.0 ve alt sürüm 8’dir.
OpenSSL güvenlik açıkları
Toplamda sekiz adet CVE numaralı hata düzeltmesi var ve bunlardan yedi tanesi yanlış bellek yönetimi sorunlarından kaynaklanıyor.
Beğenmek AçıkSSHOpenSSL, C dilinde yazılmıştır ve bellek ayırmayı ve yeniden ayırmayı yönetmek zor olabilir.
Sophos raporunda, “Maalesef deneyimli programcılar bile malloc() çağrıları ile ücretsiz() çağrılarını doğru bir şekilde eşleştirmeyi unutabilir veya programlarının hangi bölümlerine ait olan bellek arabelleklerinin izini kaybedebilir” dedi.
Bellekle ilgili yedi hata şunlardır: CVE-2023-0286, CVE-2023-0215, CVE-2022-4450, CVE-2022-4203, CVE-2023-0216, CVE-2023-0217Ve CVE-2023-0401OpenSSL’nin tüm veya belirli sürümlerini etkiler.
CVE-2023-0286 güvenlik açığı yüksek, diğerlerinin tümü orta dereceli olarak derecelendirilmiştir.
OpenSSL’yi ne rahatsız ediyor?
0 sayısını bir bellek adresi olarak kullanmaya çalışıldığında bir NULL başvurusu oluşur. Sıfır hiçbir zaman geçerli bir veri depolama konumu olarak kabul edilmediğinden, bu genellikle yanlış başlatılan bir depolama değişkenini gösterir.
Modern işletim sistemlerinin çoğu, donanım düzeyindeki hataları önlemek için belleğin ilk birkaç bin baytını kullanılamaz olarak etiketlemiştir.
Bir program sıfır sayfaya erişmeye çalıştığında, işletim sistemi onu kapatacaktır. Bir siber suçlu güvenlik açığını kasıtlı olarak tetikleyebileceğinden ve programın tekrar tekrar çökmesine neden olabileceğinden, bu tür bir hata hizmet reddi saldırılarına eğilimlidir.
Geçersiz bir işaretçi başvurusu benzer, ancak atanmamış bir adrese erişmeye çalışmak anlamına gelir.
OpenSSL ve önceki hatalar
Önceki büyük OpenSSL yaması, Kasım 2022’de, OpenSSL şifreleme kitaplığının kritik bir güvenlik açığını gidermek için bir güncelleme yayınladığı zaman geldi.
Bu, projenin “kritik” olarak sınıflandırılan bir kusurla yalnızca ikinci kez karşılaşmasıydı ve ilki iyi bilinen Heartbleed güvenlik açığıydı (CVE-2014-0160).
yürek kanaması saldırganların savunmasız sunuculardan hassas bilgilere erişmesine izin veren bir bellek işleme hatasıydı.
Kasım yaması (OpenSSL 3.0.7) yalnızca OpenSSL sürüm 3.0’ı etkiledi. Ancak OpenSSL sürüm 3.0.x yalnızca 2021’de yayınlandı ve duyurudan kaynaklanan sorunların boyutunu sınırlayabilir.
Google’dan bir güvenlik uzmanı, son yazılım taahhütlerine ve OpenSSL ekibinin bir blog gönderisine dayanarak, güncellemenin bir hizmet reddi sorunuyla ilgili olabileceğini öne sürdü.
Apache Software Foundation Güvenlikten Sorumlu Başkan Yardımcısı Mark Cox bile, tweet attı bununla ilgili “kritik bir CVE” için bir düzeltme olarak, endişeleri artırıyor. Ancak, beklenenden daha az şiddetli olduğu ortaya çıktı.
İki e-posta güvenlik hatası 8.8 olarak derecelendirilmiş ve yüksek olarak değerlendirilmiş olsa da, bunlar yalnızca OpenSSL 3.0.0 ila 3.0.6 sürümlerini etkiler. OpenSSL 1.1.1 veya 1.0.2 kullanıyorsanız endişelenmenize gerek yok.