OpenSSL در مورد آسیب پذیری امنیتی حیاتی با پچ آینده هشدار می دهد

این یکی میتونه بدتر باشه ما فقط می توانیم امیدوار باشیم که به اندازه قهرمان تمام دوران حفره های امنیتی OpenSSL، HeartBleed در سال 2014، بد نباشد.

اگر کاربر لینوکس هستید، می توانید سیستم خود را با اجرای دستور shell بررسی کنید:

# نسخه openssl

فردی که سر خود را با ناراحتی گرفته و به رک سرور نگاه می کند

بنابراین همه ما باید نگران باشیم که مارک کاکس، مهندس نرم‌افزار ممتاز Red Hat و معاون امنیت بنیاد نرم‌افزار آپاچی (ASF) این هفته توییت کرد:به روز رسانی OpenSSL 3.0.7 برای رفع Critical CVE سه شنبه آینده 1300-1700UTC.”

در مورد من، لپ تاپ من جلوی من در حال اجرا است دبیان بولسی، که از OpenSSL 1.1 استفاده می کند، بنابراین این دستگاه خوب است.

همچنین: این آسیب‌پذیری‌های امنیت سایبری در حال حاضر بیشترین محبوبیت را بین هکرها دارند – آیا آنها را اصلاح کرده‌اید؟

آخرین بار OpenSSL مانند آنچه در سال 2016 بود، ضربه ای به دندان های امنیتی خود داشت. این آسیب‌پذیری می‌تواند برای از کار افتادن و کنترل سیستم‌ها استفاده شود. حتی سال ها پس از ورود، شرکت امنیتی Check Point آن را تخمین زد بیش از 42 درصد از سازمان ها را تحت تأثیر قرار داده است.

یک پوشش نقره ای کوچک دیگر در این ابر تاریک وجود دارد. این حفره جدید فقط بر نسخه های OpenSSL 3.0.0 تا 3.0.6 تأثیر می گذارد. بنابراین، سیستم عامل ها و دستگاه های قدیمی تر احتمالاً از این مشکلات جلوگیری می کنند. مثلا، Red Hat Enterprise Linux (RHEL) 8.x و نسخه های قبلی و اوبونتو 20.04 تحت تاثیر آن قرار نخواهد گرفت با این حال، RHEL 9.x و Ubuntu 22.04 داستان متفاوتی هستند. آنها از OpenSSL 3.x استفاده می کنند.

اما آیا یک هکر نتوانست آن را پیدا کند و از آن به عنوان یک روز صفر بهره برداری کند؟ او اینطور فکر نمی کند. “با توجه به تعداد تغییرات در 3.0 و فقدان هر گونه اطلاعات زمینه دیگری، چنین تمیزکاری بسیار بعید است.”

همچنین: محققان امنیتی هشدار می دهند که دستگاه های لینوکس به طور فزاینده ای مورد حمله هکرها قرار می گیرند

احتمالاً برای افشای محتویات حافظه سرور و به طور بالقوه افشای جزئیات کاربر مورد سوء استفاده قرار می‌گیرد و می‌تواند به راحتی از راه دور برای به خطر انداختن کلیدهای خصوصی سرور یا اجرای کد از راه دور مورد سوء استفاده قرار گیرد. به عبارت دیگر، تقریباً همه چیزهایی که نمی‌خواهید در سیستم‌های تولید شما اتفاق بیفتد.

“انتقادی” چقدر بد است؟ با توجه به OpenSSL، یک مشکل از شدت بحرانی بر پیکربندی های رایج تأثیر می گذارد و همچنین به احتمال زیاد قابل بهره برداری است.

داستان های مرتبط:




منبع: https://www.zdnet.com/article/openssl-warns-of-critical-security-vulnerability-with-upcoming-patch/#ftag=RSSbaffb68

همه به OpenSSL وابسته هستند. شاید ندانید، اما OpenSSL چیزی است که استفاده از امنیت لایه حمل و نقل (TLS) را در لینوکس، یونیکس، ویندوز و بسیاری از سیستم عامل‌های دیگر ممکن می‌سازد. همچنین این چیزی است که برای قفل کردن تقریباً همه برنامه‌ها و دستگاه‌های ارتباطی و شبکه ایمن استفاده می‌شود.

ایپ

اما، اگر از هر چیزی با OpenSSL 3.x در — هر چیزی — استفاده می کنید، برای وصله در روز سه شنبه آماده شوید. این احتمالاً یک حفره امنیتی بد است و به زودی اکسپلویت ها به دنبال خواهند داشت. شما می خواهید سیستم های خود را در اسرع وقت ایمن کنید.

پس چرا حفره امنیتی را قبل از وارد شدن وصله اعلام کنیم؟ کاکس توضیح داد: «این سیاست ماست… برای افرادی که می دانند آماده تجزیه یک مشاوره هستند، تاریخی ارائه دهید و ببینید آیا این موضوع بر آنها تأثیر می گذارد یا خیر.»