John Leyden 28 Ekim 2022, 14:31 UTC
Güncelleme: 28 Ekim 2022, 14:37 UTC
Yeni Heartbleed mi yoksa sadece kanayan bir oyalama mı?
OpenSSL kriptografi kitaplığının geliştiricileri, önümüzdeki Salı (1 Kasım) yapılacak bir güncellemenin kritik bir güvenlik açığını gidereceğine dair olağandışı bir ön uyarı adımı attılar.
Yaklaşmakta olan OpenSSL 3.x yaması, projenin ‘kritik’ olarak sınıflandırılan bir kusuru ele aldığı ikinci seferdir. Bu kadar yüksek önem derecesine sahip önceki tek OpenSSL güncellemesi, kötü şöhretli Heartbleed güvenlik açığını (CVE-2014-0160) ele aldı.
Heartbleed, saldırganların savunmasız sunuculardan gizli anahtarlara, parolalara ve hassas kişisel bilgilere erişmesinin kapısını açan bir bellek işleme hatasıydı. Sekiz yıl önce keşfedildiği sırada, Netcraft uzmanları kusurun SSL web sunucularının %17’sini veya “yarım milyon yaygın olarak güvenilen web sitesini” etkilediğini tahmin ediyordu.
Yaklaşan kritik düzeltme (OpenSSL 3.0.7) hakkında, bunun dışında çok az şey biliniyor. OpenSSL sürüm 3.0 ile sınırlıyazılımın en son sürüm satırıdır ve önceki sürümleri etkilemez.
OpenSSL 3.0.x yalnızca 2021’de piyasaya sürüldü, gelecek haftaki duyurunun ortaya çıkaracağı sorunların boyutunu sınırlayabilecek bir faktör. OpenSSL 1998’den beri var ve bugün çoğu sistem hala önceki sürüm hatları kullanılarak inşa ediliyor.
Şifrelemeyle ilgili en son haberleri ve analizleri yakalayın
Yaklaşan yamanın veya ele aldığı kritik kusurun ayrıntıları açıklanmadı. Herhangi bir somut bilginin yokluğunda, infosec Twitter, bazılarının güvenlik açığının “bir sonraki Heartbleed”i temsil edebileceğini tahmin ederek aşırı hızlandı.
Örneğin, Google’dan bir güvenlik uzmanı, önerildi son yazılım taahhütlerine ve OpenSSL ekibinin güncellemenin bir hizmet reddi (DoS) sorunuyla ilgili olabileceğine ilişkin bir blog gönderisine dayanarak.
DHEat’ı hissedin
DHEat olarak bilinen ve daha önce OpenVPN ve SSH hizmetlerini etkilediği onaylanan bu özel DoS hatası, Diffie-Hellman anahtar değişiminin uygulanmasını içerir.
DHEat (AKA CVE-2002-20001), CVSS 3.1 endeksinde 7.5 puan alarak yüksek ciddiyetin ve kritik seviyenin biraz altına düştüğünü gösterir.
İlk bakışta, DHEat için bir OpenSSL yaması, OpenSSL özellikle savunmasız olmadığı sürece, kritik bir yama için zayıf bir aday gibi görünebilir. DHEat’e atıfta bulunan yeni bir OpenSSL blog yazısı, yaklaşan yamanın bu sorunu çözmesini daha da olası kılıyor.
Ankete katılan uzmanlara göre, daha önce bilinmeyen bir güvenlik açığının oyunda olması daha olası görünüyor. Günlük Swig.
Eylem istasyonları
Sonatype’ın CTO’su Brian Fox, kuruluşların OpenSSL 3.0.x’teki herhangi bir güvenlik açığına maruz kalmak için kod tabanlarını denetlemeleri gerektiğini ve gelecek hafta savunmasız sistemleri yamalamaya veya yalıtmaya hazır olmalarını söyledi.
Fox, “İlk olarak, 3.x’in nerede kullanıldığını bulmak çok önemlidir,” dedi. “Daha da önemlisi, bileşenleri her seferinde manuel olarak denetlemek ve tanımlamak zorunda kalmamak için araçları devreye sokmak hayati önem taşıyor.”
Fox, yaklaşmakta olan düzeltmenin içeriğiyle ilgili spekülasyonların en iyi ihtimalle “yararsız” olduğunu iddia etmeye devam etti:
Spekülasyon, düzeltmenin herkesin görebileceği bir kaynakta mevcut olduğunu ve önceden bildirimin saldırganlara onu bulmaları için zaman verdiğini varsayar. Bu varsayım doğru olmayabilir. Tam olarak bu nedenle, bazı zamanlarda gerçek değişikliği duyuru sonrasına kadar ambargo uygulamak en iyi uygulamadır.
OpenSSL’deki ekip, yüksek profilli açık kaynak güvenlik açığı açıklamalarını ele alma konusunda önde gelen uzmanlardan bazılarından oluşuyor ve bunun en iyi eylem planı olduğuna karar verdilerse – önceden bildirimde bulunmak için – o zaman bu karara inanıyorum.
Surrey Üniversitesi’nde bir bilgisayar bilimcisi olan Profesör Alan Woodward, sorunun eski güvenlik açığıyla ilgili olma ihtimalinin düşük olduğu sonucuna vardı.
Prof. Woodward, “OpenSSL güvenlik açığı kendi tanımlarına göre gerçekten kritikse, kulağa korkunç geliyor” dedi. Günlük Swig. “Daha eski bir güvenlik açığıysa, korkarım kurt diye ağlamış olabilirler. Bu kadar az bilgi vermenin faydası yok ama küçük bir ekip olduğu için nedenini anlayabiliyorum.”
Prof. Woodward şu sonuca vardı: “Sanırım hepimiz gelecek haftaya kadar beklememiz gerekecek.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR GitHub, başka bir kullanıcının deposuna erişime izin verebilecek hatayı düzeltir