اما همانطور که OpenSSL هشدار می دهد، از آنجایی که “OpenSSL به عنوان کد منبع توزیع می شود، ما هیچ راهی نداریم که بدانیم هر پلتفرم و ترکیب کامپایلر چگونه بافرها را در پشته مرتب کرده اند، و بنابراین اجرای کد از راه دور ممکن است هنوز در برخی از پلتفرم ها امکان پذیر باشد.”
با 3602، نگرانی شما این است که یک سرریز بافر مبتنی بر پشته در روشی که OpenSSL گواهیهای X.509 را با یک فیلد آدرس ایمیل ساختهشده خاص پردازش میکند، پیدا شد. باز هم، این می تواند باعث خرابی یا RCE شود.
اگر چنین است، شما از OpenSSL 3.0.0 تا 3.0.6 استفاده می کنید. کاربران OpenSSL 1.1.1 و 1.0.2 نگران نباشند. با این حال، فقط به این دلیل که سیستم عامل اصلی شما از OpenSSL 1.x استفاده می کند، فکر نکنید که بتوانید این مسائل را نادیده بگیرید. ممکن است برنامه ها یا کانتینرهای شما از نسخه آسیب پذیر استفاده کنند. به طور خلاصه، قبل از پا گذاشتن کفش های خود و چرت زدن، کد خود را بررسی کنید.
در نهایت، OpenSSL همیشه استفاده از آخرین نسخه (1.1.1s) را توصیه می کند و به شما یادآوری می کند که OpenSSL 1.1.1 است. فقط تا 11 سپتامبر 2023 پشتیبانی می شود. کاربران نسخه های قدیمی OpenSSL (مانند 1.0.2) تشویق می شوند که به OpenSSL 3.0 ارتقا دهند. به خاطر داشته باشید، وجود داشت هرگز نسخه OpenSSL 2 منتشر نمی شود. اگر کسی سعی کند شما را به “ارتقا” به OpenSSL 2 وادار کند، به شما حمله می کند.
رایجترین روشی که میتواند راهاندازی شود، زمانی است که سرور پس از اتصال یک کلاینت مخرب، تأیید اعتبار مشتری را درخواست میکند یا زمانی که یک کلاینت به یک سرور مخرب متصل میشود. تا به امروز، هیچ حمله موفقی وجود نداشته است.
این بدان معنا نیست که بد نیست. هر دو CVE-2022-3786 (“سرریز سرریز بافر با طول متغیر آدرس ایمیل X.509”) و CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”) دارای رتبه CVE 8.8 است که “بالا” در نظر گرفته می شود. این بدان معناست که آنها هنوز هم می توانند برای شما دردسر واقعی ایجاد کنند.