ওপেনএসএসএল প্যাচগুলি আউট হয়ে গেছে - গুরুতর বাগটি হাই-এ নামিয়ে আনা হয়েছে, তবে যেভাবেই হোক প্যাচ করুন!

আমরা গুরুত্বপূর্ণ জিনিস দিয়ে শুরু করব: বহুল প্রতীক্ষিত OpenSSL বাগফিক্সগুলি গত সপ্তাহে ঘোষণা করা হয়েছে বাইরে আছে.

OpenSSL 1.1.1 এ যায় সংস্করণ 1.1.1s, এবং একটি তালিকাভুক্ত নিরাপত্তা-সম্পর্কিত বাগ প্যাচ করে, কিন্তু এই বাগটির কোনো নিরাপত্তা রেটিং বা একটি অফিসিয়াল CVE নম্বর নেই।

আমরা দৃঢ়ভাবে সুপারিশ করছি যে আপনি আপডেট করুন, কিন্তু আপনি সাইবার নিরাপত্তা মিডিয়াতে যে সমালোচনামূলক আপডেট দেখেছেন তা এই সংস্করণে প্রযোজ্য নয়।

OpenSSL 3.0 এ যায় 3.0.7 সংস্করণ, এবং প্যাচগুলি একটি নয় বরং দুটি CVE-সংখ্যাযুক্ত সুরক্ষা বাগ যা উচ্চ তীব্রতায় অফিসিয়াল মনোনীত।

আমরা দৃঢ়ভাবে সুপারিশ করছি যে আপনি যতটা জরুরীভাবে সংগ্রহ করতে পারেন তার সাথে আপডেট করুন, কিন্তু সবাই যে সমালোচনামূলক সমাধানের কথা বলছে তা এখন উচ্চ তীব্রতায় নামিয়ে আনা হয়েছে।

এটি OpenSSL দলের মতামতকে প্রতিফলিত করে:

এর পূর্ব ঘোষণা জন্য CVE-2022-3602 এই সমস্যাটিকে ক্রিটিক্যাল হিসাবে বর্ণনা করেছেন। [রিলিজ নোটে] বর্ণিত কিছু প্রশমিত কারণের উপর ভিত্তি করে আরও বিশ্লেষণের ফলে এটিকে উচ্চ পর্যায়ে নামিয়ে আনা হয়েছে। ব্যবহারকারীদের এখনও যত তাড়াতাড়ি সম্ভব একটি নতুন সংস্করণে আপগ্রেড করতে উত্সাহিত করা হয়৷

হাস্যকরভাবে, একটি দ্বিতীয় এবং অনুরূপ বাগ, ডাব জন্য CVE-2022-3786, আবিষ্কৃত হয়েছিল যখন CVE-2022-3602-এর জন্য ফিক্স প্রস্তুত করা হচ্ছিল।

আসল বাগটি শুধুমাত্র একজন আক্রমণকারীকে স্ট্যাকের চারটি বাইট নষ্ট করার অনুমতি দেয়, যা গর্তের শোষণকে সীমিত করে, যখন দ্বিতীয় বাগটি স্ট্যাকের ওভারফ্লো সীমাহীন পরিমাণের অনুমতি দেয়, তবে দৃশ্যত শুধুমাত্র "ডট" অক্ষরের (ASCII 46, বা 0x2E) ) বার বার পুনরাবৃত্তি।

উভয় দুর্বলতা TLS শংসাপত্র যাচাইকরণের সময় উন্মোচিত হয়, যেখানে একটি ইচ্ছাকৃতভাবে ত্রুটিযুক্ত TLS শংসাপত্রের সাথে একটি বুবি-ট্র্যাপড ক্লায়েন্ট বা সার্ভার অন্য প্রান্তে সার্ভার বা ক্লায়েন্টের কাছে নিজেকে "শনাক্ত করে"।

যদিও এই ধরণের স্ট্যাক ওভারফ্লো (একটি সীমিত আকারের এবং অন্যটি সীমিত ডেটা মানগুলির) শোনাচ্ছে যেন কোড এক্সিকিউশনের জন্য তাদের ব্যবহার করা কঠিন হবে (বিশেষত 64-বিট সফ্টওয়্যারে, যেখানে চার বাইট একটি মেমরি ঠিকানার মাত্র অর্ধেক) …

…তারা প্রায় নিশ্চিত যে DoS (পরিষেবা অস্বীকার) আক্রমণের জন্য সহজেই শোষণযোগ্য, যেখানে একটি দুর্বৃত্ত শংসাপত্রের প্রেরক ইচ্ছামতো সেই শংসাপত্রের প্রাপককে ক্রাশ করতে পারে।

সৌভাগ্যবশত, বেশিরভাগ টিএলএস এক্সচেঞ্জে ক্লায়েন্টদের সার্ভার সার্টিফিকেট যাচাই করা জড়িত, অন্যভাবে নয়।

বেশিরভাগ ওয়েব সার্ভার, উদাহরণস্বরূপ, দর্শকদের সাইটটি পড়ার অনুমতি দেওয়ার আগে তাদের একটি শংসাপত্রের মাধ্যমে তাদের সনাক্ত করার প্রয়োজন হয় না, তাই যে কোনও কাজের কাজের "ক্র্যাশ দিক" হতে পারে দুর্বৃত্ত সার্ভারগুলি অসহায় দর্শকদের ক্র্যাশ করে, যা সাধারণত বিবেচনা করা হয় একটি একক দুর্বৃত্ত দর্শক দ্বারা ব্রাউজ করার সময় সার্ভার ক্র্যাশ হওয়ার চেয়ে অনেক কম গুরুতর।

তা সত্ত্বেও, যে কোনও কৌশল যার মাধ্যমে একটি হ্যাক করা ওয়েব বা ইমেল সার্ভার অনায়াসে একটি ভিজিটিং ব্রাউজার বা ইমেল অ্যাপ ক্র্যাশ করতে পারে তা অবশ্যই বিপজ্জনক হিসাবে বিবেচিত হবে, অন্ততপক্ষে এই কারণে নয় যে সংযোগটি পুনরায় চেষ্টা করার জন্য ক্লায়েন্ট সফ্টওয়্যার দ্বারা কোনও প্রচেষ্টার ফলে অ্যাপটি বারবার ক্র্যাশ হবে। আবার

তাই আপনি অবশ্যই চান যত তাড়াতাড়ি আপনি পারেন এই বিরুদ্ধে প্যাচ.

কি করো?

উপরে উল্লিখিত হিসাবে, আপনি প্রয়োজন OpenSSL 1.1.1s or ওপেনএসএসএল 3.0.7 এই মুহূর্তে আপনার কাছে যাই হোক না কেন সংস্করণ প্রতিস্থাপন করতে।

OpenSSL 1.1.1s ফিক্সিং হিসাবে বর্ণিত একটি নিরাপত্তা প্যাচ পায় "একটি রিগ্রেশন [একটি পুরানো বাগ যা পুনরায় আবির্ভূত হয়েছে] OpenSSL 1.1.1r-এ প্রবর্তিত হয়েছে শংসাপত্রে স্বাক্ষর করার আগে স্বাক্ষর করার জন্য শংসাপত্রের ডেটা রিফ্রেশ করে না", সেই বাগটির কোনো তীব্রতা বা এটিতে একটি CVE বরাদ্দ নেই...

…কিন্তু এটি আপনাকে যত তাড়াতাড়ি সম্ভব আপডেট করা বন্ধ করতে দেবেন না।

ওপেনএসএসএল 3.0.7 উপরে তালিকাভুক্ত দুটি CVE-সংখ্যাযুক্ত উচ্চ-তীব্রতার সমাধান পায়, এবং যদিও সেগুলি এখন তেমন ভীতিকর মনে হয় না যেমনটি তারা এই রিলিজ পর্যন্ত নিউজ-ফেস্টে করেছিল, আপনার অনুমান করা উচিত যে:

• অনেক আক্রমণকারী দ্রুত খুঁজে বের করবে কিভাবে DoS উদ্দেশ্যে এই গর্তগুলোকে কাজে লাগাতে হয়। এটি সর্বোত্তমভাবে কর্মপ্রবাহের বিঘ্ন ঘটাতে পারে এবং সবচেয়ে খারাপ দিকে সাইবার নিরাপত্তা সমস্যা সৃষ্টি করতে পারে, বিশেষ করে যদি আপনার আইটি ইকোসিস্টেমে গুরুত্বপূর্ণ স্বয়ংক্রিয় প্রক্রিয়াগুলি (যেমন আপডেটগুলি) ধীর বা ভাঙতে বাগটির অপব্যবহার করা যেতে পারে।
• কিছু আক্রমণকারী রিমোট কোড এক্সিকিউশনের জন্য এই বাগগুলিকে বিবাদ করতে সক্ষম হতে পারে। এটি অপরাধীদের আপনার নিজের ব্যবসায় নিরাপদ ডাউনলোডের জন্য ব্যবহৃত ক্লায়েন্ট সফ্টওয়্যারগুলিকে নষ্ট করতে বুবি-ট্র্যাপড ওয়েব সার্ভার ব্যবহার করার একটি ভাল সুযোগ দেবে।
• যদি একটি প্রুফ-অফ-কনসেপ্ট (PoC) পাওয়া যায়, এটি বিশাল আগ্রহ আকর্ষণ করবে। আপনি Log4Shell থেকে মনে রাখবেন, PoCs প্রকাশিত হওয়ার সাথে সাথে, হাজার হাজার স্ব-ঘোষিত "গবেষক" স্ক্যান-দ্য-ইন্টারনেট-এন্ড-অ্যাটাক-অ্যাস-ইউ-গো ব্যান্ডওয়াগনে ঝাঁপিয়ে পড়ে লোকেদের খুঁজে পেতে "সহায়তা" করার আড়ালে। তাদের নেটওয়ার্কে সমস্যা।

মনে রাখবেন যে OpenSSL 1.0.2 এখনও সমর্থিত এবং আপডেট করা হয়েছে, কিন্তু ব্যক্তিগতভাবে শুধুমাত্র সেই গ্রাহকদের জন্য যারা OpenSSL টিমের সাথে চুক্তির অর্থ প্রদান করেছেন, যে কারণে আমাদের কাছে এটি সম্পর্কে এখানে প্রকাশ করার জন্য কোন তথ্য নেই, এটি নিশ্চিত করা ছাড়া যে CVE -OpenSSL 3.0-এ সংখ্যাযুক্ত বাগগুলি OpenSSL 1.0.2 সিরিজে প্রযোজ্য নয়।

আপনি আরো পড়ুন, এবং আপনার পান OpenSSL আপডেট, থেকে OpenSSL ওয়েবসাইট.

ওহ, এবং যদি PoCs অনলাইনে দেখাতে শুরু করে, তাহলে অনুগ্রহ করে চালাক-ক্লগ হবেন না এবং অন্য লোকের কম্পিউটারের বিরুদ্ধে সেই PoC গুলি "চেষ্টা করা" শুরু করুন যে আপনি যে কোনও ধরণের "গবেষণায়" "সাহায্য" করছেন।

---