OpenSSL از یک گلوله امنیتی طفره می رود


حفاظت از سیستم کامپیوتری، امنیت پایگاه داده، اینترنت امن.  نماد قفل در کد باینری برنامه نویسی پس زمینه داده های کامپیوتری انتزاعی، فناوری حفاظت از داده ها.  تصویر برداری

گتی ایماژ/iStockphoto

در ابتدا، به نظر می رسید که باگ امنیتی OpenSSL 3.x واقعاً وحشتناک خواهد بود. در حالی که بیم آن می رفت که این یک خطای حیاتی باشد که می تواند منجر به اجرای کد از راه دور (RCE) شود، پس از بررسی دقیق تر معلوم شد که به هر حال آنقدرها هم وحشتناک نیست.

این بدان معنا نیست که بد نیست. هر دو CVE-2022-3786 (“سرریز سرریز بافر با طول متغیر آدرس ایمیل X.509”) و CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”) دارای رتبه CVE 8.8 است که “بالا” در نظر گرفته می شود. این بدان معناست که آنها هنوز هم می توانند برای شما دردسر واقعی ایجاد کنند.

اگر چنین است، شما از OpenSSL 3.0.0 تا 3.0.6 استفاده می کنید. کاربران OpenSSL 1.1.1 و 1.0.2 نگران نباشند. با این حال، فقط به این دلیل که سیستم عامل اصلی شما از OpenSSL 1.x استفاده می کند، فکر نکنید که بتوانید این مسائل را نادیده بگیرید. ممکن است برنامه ها یا کانتینرهای شما از نسخه آسیب پذیر استفاده کنند. به طور خلاصه، قبل از پا گذاشتن کفش های خود و چرت زدن، کد خود را بررسی کنید.

به طور خاص، شما باید نگران 3786 در مورد افزایش بافری باشید که می تواند در تأیید گواهی X.509 فعال شود. در اینجا، یک مهاجم می تواند یک آدرس ایمیل مخرب ایجاد کند تا چهار بایت کنترل شده توسط مهاجم در پشته سرریز شود. این می تواند باعث خرابی سیستم یا RCE شود.

با 3602، نگرانی شما این است که یک سرریز بافر مبتنی بر پشته در روشی که OpenSSL گواهی‌های X.509 را با یک فیلد آدرس ایمیل ساخته‌شده خاص پردازش می‌کند، پیدا شد. باز هم، این می تواند باعث خرابی یا RCE شود.

رایج‌ترین روشی که می‌تواند راه‌اندازی شود، زمانی است که سرور پس از اتصال یک کلاینت مخرب، تأیید اعتبار مشتری را درخواست می‌کند یا زمانی که یک کلاینت به یک سرور مخرب متصل می‌شود. تا به امروز، هیچ حمله موفقی وجود نداشته است.

برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری سوناتایپیک شرکت امنیت زنجیره تامین نرم افزار خاطرنشان می کند: “در حالی که اشکالات سرریز حافظه می تواند منجر به بدترین سناریوها شود، به نظر می رسد جزئیات این آسیب پذیری خاص نشان می دهد که سطح دشواری برای یک اکسپلویت بسیار بالا است. این آسیب پذیری نیاز به یک گواهی نادرست دارد. که توسط یک مرجع نام‌گذاری مورد اعتماد یا امضا شده است. این بدان معناست که مقامات باید بتوانند به سرعت از ایجاد گواهی‌هایی که برای هدف قرار دادن این آسیب‌پذیری طراحی شده‌اند، جلوگیری کنند و دامنه را بیشتر محدود کنند.”

چرا این یک معامله بزرگ به همان اندازه که ما ابتدا از آن می ترسیدیم نبود؟ این آسیب‌پذیری‌ها دیگر حیاتی تلقی نمی‌شوند، زیرا بسیاری از سیستم‌عامل‌های مدرن در برابر حفره‌های امنیتی خاص خود آسیب‌پذیر نیستند.

دلیل آن این است که یک پشته حافظه مورد سوء استفاده تنها یک بافر مجاور استفاده نشده را در برخی از توزیع های لینوکس بازنویسی می کند، مانند Red Hat Enterprise Linux (RHEL). علاوه بر این، بسیاری از پلتفرم های مدرن، حفاظت از سرریز پشته را اجرا می کنند. ممکن است سیستم شما همچنان از کار بیفتد، اما بعید است که یک مهاجم بتواند RCE را انجام دهد.

اما همانطور که OpenSSL هشدار می دهد، از آنجایی که “OpenSSL به عنوان کد منبع توزیع می شود، ما هیچ راهی نداریم که بدانیم هر پلتفرم و ترکیب کامپایلر چگونه بافرها را در پشته مرتب کرده اند، و بنابراین اجرای کد از راه دور ممکن است هنوز در برخی از پلتفرم ها امکان پذیر باشد.”

علاوه بر این، در حالی که وصله OpenSSL در بالادست است، این بدان معنا نیست که توزیع شما پچ را آماده کار کرده است. بنابراین، شما نمی توانید به سادگی خود را به روز کنید لینوکس دبیان نرم افزار خانواده با …

به روز رسانی sudo apt-get $

ارتقاء sudo apt-get $

… و مطمئن باشید که در امان خواهید بود. با توزیع کننده لینوکس خود تماس بگیرید تا مطمئن شوید که وصله OpenSSL 3.0.7 برای سیستم شما آماده است. یا همیشه می توانید پچ را خودتان برای سیستم خود دانلود و کامپایل کنید.

در نهایت، OpenSSL همیشه استفاده از آخرین نسخه (1.1.1s) را توصیه می کند و به شما یادآوری می کند که OpenSSL 1.1.1 است. فقط تا 11 سپتامبر 2023 پشتیبانی می شود. کاربران نسخه های قدیمی OpenSSL (مانند 1.0.2) تشویق می شوند که به OpenSSL 3.0 ارتقا دهند. به خاطر داشته باشید، وجود داشت هرگز نسخه OpenSSL 2 منتشر نمی شود. اگر کسی سعی کند شما را به “ارتقا” به OpenSSL 2 وادار کند، به شما حمله می کند.

قبل از اصلاح و پشت سر گذاشتن این مشکل، نگهبان زنجیر و Sigstore بنیانگذار دن لورنک دوست دارد به خاطر داشته باشید که حتی اگر مشخص شده بود که یک آسیب پذیری OpenSSL حیاتی است، “این تنها دومین آسیب پذیری در بخش بهتر یک دهه است. این امر تقویت می کند که کد منبع باز حداقل به اندازه ایمن است. کد منبع بسته اختصاصی… به جای بحث در مورد شایستگی های منبع باز، ما باید به جای آن بر ساختن نرم افزار ایمن تمرکز کنیم که ابزار لازم برای بهبود سریعتر و بدون درز را با ریشه یابی در اقدامات پیش فرض ایمن داشته باشد.”

داستان های مرتبط:


منبع: https://www.zdnet.com/article/openssl-dodges-a-security-bullet/#ftag=RSSbaffb68