اما همانطور که OpenSSL هشدار می دهد، از آنجایی که “OpenSSL به عنوان کد منبع توزیع می شود، ما هیچ راهی نداریم که بدانیم هر پلتفرم و ترکیب کامپایلر چگونه بافرها را در پشته مرتب کرده اند، و بنابراین اجرای کد از راه دور ممکن است هنوز در برخی از پلتفرم ها امکان پذیر باشد.”
OpenSSL از یک گلوله امنیتی طفره می رود
منبع: https://www.zdnet.com/article/openssl-dodges-a-security-bullet/#ftag=RSSbaffb68
با 3602، نگرانی شما این است که یک سرریز بافر مبتنی بر پشته در روشی که OpenSSL گواهیهای X.509 را با یک فیلد آدرس ایمیل ساختهشده خاص پردازش میکند، پیدا شد. باز هم، این می تواند باعث خرابی یا RCE شود.
اگر چنین است، شما از OpenSSL 3.0.0 تا 3.0.6 استفاده می کنید. کاربران OpenSSL 1.1.1 و 1.0.2 نگران نباشند. با این حال، فقط به این دلیل که سیستم عامل اصلی شما از OpenSSL 1.x استفاده می کند، فکر نکنید که بتوانید این مسائل را نادیده بگیرید. ممکن است برنامه ها یا کانتینرهای شما از نسخه آسیب پذیر استفاده کنند. به طور خلاصه، قبل از پا گذاشتن کفش های خود و چرت زدن، کد خود را بررسی کنید.
در نهایت، OpenSSL همیشه استفاده از آخرین نسخه (1.1.1s) را توصیه می کند و به شما یادآوری می کند که OpenSSL 1.1.1 است. فقط تا 11 سپتامبر 2023 پشتیبانی می شود. کاربران نسخه های قدیمی OpenSSL (مانند 1.0.2) تشویق می شوند که به OpenSSL 3.0 ارتقا دهند. به خاطر داشته باشید، وجود داشت هرگز نسخه OpenSSL 2 منتشر نمی شود. اگر کسی سعی کند شما را به “ارتقا” به OpenSSL 2 وادار کند، به شما حمله می کند.
رایجترین روشی که میتواند راهاندازی شود، زمانی است که سرور پس از اتصال یک کلاینت مخرب، تأیید اعتبار مشتری را درخواست میکند یا زمانی که یک کلاینت به یک سرور مخرب متصل میشود. تا به امروز، هیچ حمله موفقی وجود نداشته است.
این بدان معنا نیست که بد نیست. هر دو CVE-2022-3786 (“سرریز سرریز بافر با طول متغیر آدرس ایمیل X.509”) و CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”) دارای رتبه CVE 8.8 است که “بالا” در نظر گرفته می شود. این بدان معناست که آنها هنوز هم می توانند برای شما دردسر واقعی ایجاد کنند.
به روز رسانی sudo apt-get $
برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری سوناتایپیک شرکت امنیت زنجیره تامین نرم افزار خاطرنشان می کند: “در حالی که اشکالات سرریز حافظه می تواند منجر به بدترین سناریوها شود، به نظر می رسد جزئیات این آسیب پذیری خاص نشان می دهد که سطح دشواری برای یک اکسپلویت بسیار بالا است. این آسیب پذیری نیاز به یک گواهی نادرست دارد. که توسط یک مرجع نامگذاری مورد اعتماد یا امضا شده است. این بدان معناست که مقامات باید بتوانند به سرعت از ایجاد گواهیهایی که برای هدف قرار دادن این آسیبپذیری طراحی شدهاند، جلوگیری کنند و دامنه را بیشتر محدود کنند.”
ارتقاء sudo apt-get $
علاوه بر این، در حالی که وصله OpenSSL در بالادست است، این بدان معنا نیست که توزیع شما پچ را آماده کار کرده است. بنابراین، شما نمی توانید به سادگی خود را به روز کنید لینوکس دبیان نرم افزار خانواده با …
… و مطمئن باشید که در امان خواهید بود. با توزیع کننده لینوکس خود تماس بگیرید تا مطمئن شوید که وصله OpenSSL 3.0.7 برای سیستم شما آماده است. یا همیشه می توانید پچ را خودتان برای سیستم خود دانلود و کامپایل کنید.
در ابتدا، به نظر می رسید که باگ امنیتی OpenSSL 3.x واقعاً وحشتناک خواهد بود. در حالی که بیم آن می رفت که این یک خطای حیاتی باشد که می تواند منجر به اجرای کد از راه دور (RCE) شود، پس از بررسی دقیق تر معلوم شد که به هر حال آنقدرها هم وحشتناک نیست.
قبل از اصلاح و پشت سر گذاشتن این مشکل، نگهبان زنجیر و Sigstore بنیانگذار دن لورنک دوست دارد به خاطر داشته باشید که حتی اگر مشخص شده بود که یک آسیب پذیری OpenSSL حیاتی است، “این تنها دومین آسیب پذیری در بخش بهتر یک دهه است. این امر تقویت می کند که کد منبع باز حداقل به اندازه ایمن است. کد منبع بسته اختصاصی… به جای بحث در مورد شایستگی های منبع باز، ما باید به جای آن بر ساختن نرم افزار ایمن تمرکز کنیم که ابزار لازم برای بهبود سریعتر و بدون درز را با ریشه یابی در اقدامات پیش فرض ایمن داشته باشد.”
چرا این یک معامله بزرگ به همان اندازه که ما ابتدا از آن می ترسیدیم نبود؟ این آسیبپذیریها دیگر حیاتی تلقی نمیشوند، زیرا بسیاری از سیستمعاملهای مدرن در برابر حفرههای امنیتی خاص خود آسیبپذیر نیستند.
