Yüksek önemde OpenSSL hatası, uzaktan kod yürütülmesine neden olabilir


Jessica Haworth

06 Temmuz 2022 13:14 UTC

Güncelleme: 08 Temmuz 2022, 12:02 UTC

Düzeltmeler mevcut, şimdi güncelleyin

Yüksek önemde OpenSSL hatası, uzaktan kod yürütülmesine neden olabilir

GÜNCELLENMİŞ OpenSSL’deki yüksek önem düzeyine sahip bir güvenlik açığı, kötü niyetli bir aktörün sunucu tarafı cihazlarda uzaktan kod yürütme (RCE) gerçekleştirmesine izin verebilir.

OpenSSL, yaygın olarak kullanılan bir şifreleme kitaplığıdır. açık kaynak Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) protokollerinin uygulanması.

RSA özel anahtarları oluşturmak ve gerçekleştirmek için araçlar içerir. şifreleme ve diğer görevlerin yanı sıra şifre çözme.

bellek bozulması

OpenSSL 3.0.4 sürümü, AVX512IFMA talimatlarını destekleyen X86_64 CPU’lar için RSA uygulamasında “ciddi bir hata” ortaya çıkardı, danışma devletleri.

Bu sorun (CVE-2022-2274), 2048 bit özel anahtarlarla RSA uygulamasını yanlış yapar, bu da hesaplama sırasında bellek bozulması olacağı anlamına gelir.

Bellek bozulmasının bir sonucu olarak, bir saldırgan tetikleyebilir RCE OpenSSL bakımcıları, hesaplamayı yapan makinede dedi.

En son güvenlik açığı haberlerini okuyun

Bu sorun, düzeltmeyi de geliştiren Xi Ruoyao tarafından 22 Haziran 2022’de OpenSSL’ye bildirildi.

X86_64 mimarisinin AVX512IFMA talimatlarını destekleyen makinelerde çalışan 2048 bit RSA özel anahtarlarını kullanan SSL/TLS sunucuları veya diğer sunucular bu sorundan etkilenir.

Danışma belgesinde, “Korunmasız bir makinede, OpenSSL’nin uygun şekilde test edilmesi başarısız olur ve dağıtımdan önce fark edilmesi gerekir” diyor.

OpenSSL 3.0.4 sürümünün kullanıcıları, OpenSSL 3.0.5’e yükseltme yapmalıdır. OpenSSL 1.1.1 ve 1.0.2 bu sorundan etkilenmez.

Ek kusurlar

OpenSSL’nin en son sürümünde düzeltilen bir diğer sorun, bazı durumlarda şifrelemenin başarısız olmasına neden olabilecek orta düzeyde bir uygulama hatasıdır.

AES-NI derleme optimize uygulamasını kullanan 32 bit x86 platformları için AES OCB modu, verilerin tamamını şifrelemez. Danışmanlık, bunun, bellekte önceden var olan ve yazılmamış on altı baytlık veriyi ortaya çıkarabileceğini açıklıyor.

“’Yerinde’ şifreleme özel durumunda, düz metnin on altı baytı ortaya çıkar” diyor.

OpenSSL, TLS ve DTLS için OCB tabanlı şifre takımlarını desteklemediğinden, ikisi de etkilenmez.

Bu sorun, 1.1.1 ve 3.0 sürümlerini etkiler. 5 Temmuz 2022’de 1.1.1q ve 3.0.5 sürümlerinde ele alındı.

OpenSSL 1.1.1 kullanıcıları 1.1.1q’ye yükseltmeli OpenSSL 3.0 kullanıcıları 3.0.5’e yükseltmeli.

Bu makale daha fazla bilgi içerecek şekilde güncellendi.

KAÇIRMAYIN CWE Top 25: Bunlar 2022’nin en tehlikeli yazılım zayıflıkları



Source link