این یکی میتونه بدتر باشه ما فقط می توانیم امیدوار باشیم که به اندازه قهرمان تمام دوران حفره های امنیتی OpenSSL، HeartBleed در سال 2014، بد نباشد.
بنابراین همه ما باید نگران باشیم که مارک کاکس، مهندس نرمافزار ممتاز Red Hat و معاون امنیت بنیاد نرمافزار آپاچی (ASF) این هفته توییت کرد:به روز رسانی OpenSSL 3.0.7 برای رفع Critical CVE سه شنبه آینده 1300-1700UTC.”
در مورد من، لپ تاپ من جلوی من در حال اجرا است دبیان بولسی، که از OpenSSL 1.1 استفاده می کند، بنابراین این دستگاه خوب است.
همچنین: این آسیبپذیریهای امنیت سایبری در حال حاضر بیشترین محبوبیت را بین هکرها دارند – آیا آنها را اصلاح کردهاید؟
آخرین بار OpenSSL مانند آنچه در سال 2016 بود، ضربه ای به دندان های امنیتی خود داشت. این آسیبپذیری میتواند برای از کار افتادن و کنترل سیستمها استفاده شود. حتی سال ها پس از ورود، شرکت امنیتی Check Point آن را تخمین زد بیش از 42 درصد از سازمان ها را تحت تأثیر قرار داده است.
یک پوشش نقره ای کوچک دیگر در این ابر تاریک وجود دارد. این حفره جدید فقط بر نسخه های OpenSSL 3.0.0 تا 3.0.6 تأثیر می گذارد. بنابراین، سیستم عامل ها و دستگاه های قدیمی تر احتمالاً از این مشکلات جلوگیری می کنند. مثلا، Red Hat Enterprise Linux (RHEL) 8.x و نسخه های قبلی و اوبونتو 20.04 تحت تاثیر آن قرار نخواهد گرفت با این حال، RHEL 9.x و Ubuntu 22.04 داستان متفاوتی هستند. آنها از OpenSSL 3.x استفاده می کنند.
اما آیا یک هکر نتوانست آن را پیدا کند و از آن به عنوان یک روز صفر بهره برداری کند؟ او اینطور فکر نمی کند. “با توجه به تعداد تغییرات در 3.0 و فقدان هر گونه اطلاعات زمینه دیگری، چنین تمیزکاری بسیار بعید است.”
همچنین: محققان امنیتی هشدار می دهند که دستگاه های لینوکس به طور فزاینده ای مورد حمله هکرها قرار می گیرند
احتمالاً برای افشای محتویات حافظه سرور و به طور بالقوه افشای جزئیات کاربر مورد سوء استفاده قرار میگیرد و میتواند به راحتی از راه دور برای به خطر انداختن کلیدهای خصوصی سرور یا اجرای کد از راه دور مورد سوء استفاده قرار گیرد. به عبارت دیگر، تقریباً همه چیزهایی که نمیخواهید در سیستمهای تولید شما اتفاق بیفتد.
“انتقادی” چقدر بد است؟ با توجه به OpenSSL، یک مشکل از شدت بحرانی بر پیکربندی های رایج تأثیر می گذارد و همچنین به احتمال زیاد قابل بهره برداری است.
داستان های مرتبط:
منبع: https://www.zdnet.com/article/openssl-warns-of-critical-security-vulnerability-with-upcoming-patch/#ftag=RSSbaffb68
همه به OpenSSL وابسته هستند. شاید ندانید، اما OpenSSL چیزی است که استفاده از امنیت لایه حمل و نقل (TLS) را در لینوکس، یونیکس، ویندوز و بسیاری از سیستم عاملهای دیگر ممکن میسازد. همچنین این چیزی است که برای قفل کردن تقریباً همه برنامهها و دستگاههای ارتباطی و شبکه ایمن استفاده میشود.
ایپ
اما، اگر از هر چیزی با OpenSSL 3.x در — هر چیزی — استفاده می کنید، برای وصله در روز سه شنبه آماده شوید. این احتمالاً یک حفره امنیتی بد است و به زودی اکسپلویت ها به دنبال خواهند داشت. شما می خواهید سیستم های خود را در اسرع وقت ایمن کنید.
پس چرا حفره امنیتی را قبل از وارد شدن وصله اعلام کنیم؟ کاکس توضیح داد: «این سیاست ماست… برای افرادی که می دانند آماده تجزیه یک مشاوره هستند، تاریخی ارائه دهید و ببینید آیا این موضوع بر آنها تأثیر می گذارد یا خیر.»