وصله‌های OpenSSL تمام شده‌اند - اشکال حیاتی به HIGH کاهش یافت، اما به هر حال وصله می‌شود!

ما با چیزهای مهم شروع می کنیم: رفع اشکالات OpenSSL که هفته گذشته اعلام شد بیرون هستند.

OpenSSL 1.1.1 به نسخه 1.1.1sو یکی از باگ‌های مربوط به امنیت فهرست شده را اصلاح می‌کند، اما این اشکال دارای رتبه‌بندی امنیتی یا شماره رسمی CVE نیست.

ما اکیداً توصیه می کنیم که به روز رسانی کنید، اما به روز رسانی CRITICAL که در رسانه های امنیت سایبری مشاهده کرده اید در این نسخه صدق نمی کند.

OpenSSL 3.0 به 3.0.7 نسخهو نه یک، بلکه دو باگ امنیتی با شماره CVE را اصلاح می کند که به طور رسمی با شدت بالا تعیین شده اند.

ما اکیداً توصیه می‌کنیم که با فوریت هر چه بیشتر به‌روزرسانی کنید، اما رفع بحرانی که همه درباره آن صحبت می‌کردند اکنون به شدت بالا کاهش یافته است.

این منعکس کننده نظر تیم OpenSSL است:

پیش اطلاعیه های CVE-2022-3602 این موضوع را بحرانی توصیف کرد. تجزیه و تحلیل بیشتر بر اساس برخی از عوامل کاهش دهنده شرح داده شده [در یادداشت های انتشار] منجر به تنزل رتبه به HIGH شده است. کاربران همچنان تشویق می شوند تا در اسرع وقت به نسخه جدید ارتقا دهند.

از قضا یک باگ دوم و مشابه، دوبله شده CVE-2022-3786، در حالی کشف شد که اصلاح CVE-2022-3602 در حال آماده شدن بود.

باگ اصلی تنها به مهاجم اجازه می‌دهد تا چهار بایت را در پشته خراب کند، که بهره‌برداری از سوراخ را محدود می‌کند، در حالی که باگ دوم اجازه می‌دهد مقدار نامحدودی از سرریز پشته، اما ظاهراً فقط از کاراکتر "نقطه" (ASCII 46 یا 0x2E) ) بارها و بارها تکرار می شود.

هر دو آسیب‌پذیری در طول تأیید گواهی TLS آشکار می‌شوند، جایی که یک کلاینت یا سرور به دام انفجاری، خود را به سرور یا کلاینت در انتهای دیگر با یک گواهی عمداً نادرست TLS «شناسایی» می‌کند.

اگرچه این نوع سرریزهای پشته (یکی با اندازه محدود و دیگری با مقادیر داده محدود) به نظر می رسد که سوء استفاده از آنها برای اجرای کد دشوار است (به خصوص در نرم افزارهای 64 بیتی که چهار بایت تنها نیمی از آدرس حافظه است) …

... تقریباً مطمئن است که به راحتی برای حملات DoS (انکار سرویس) قابل بهره برداری هستند، جایی که فرستنده یک گواهی سرکش می تواند گیرنده آن گواهی را به دلخواه از کار بیاندازد.

خوشبختانه، اکثر مبادلات TLS شامل تایید گواهی‌های سرور توسط کلاینت‌ها می‌شود و نه برعکس.

به عنوان مثال، بیشتر سرورهای وب، بازدیدکنندگان را ملزم نمی‌کنند که قبل از اجازه خواندن سایت، خود را با گواهی شناسایی کنند، بنابراین «جهت خرابی» هر گونه سوءاستفاده‌های کاری احتمالاً سرورهای سرکشی است که بازدیدکنندگان بدبخت را خراب می‌کنند، که معمولاً در نظر گرفته می‌شود. بسیار کمتر از سرورهایی که هر بار که توسط یک بازدیدکننده سرکش به آنها مراجعه می شود، خراب می شوند.

با این وجود، هر تکنیکی که توسط آن یک وب یا سرور ایمیل هک شده می تواند به طور بلاعوض یک مرورگر بازدیدکننده یا برنامه ایمیل را خراب کند، باید خطرناک تلقی شود، به ویژه به این دلیل که هر تلاشی از سوی نرم افزار مشتری برای تلاش مجدد برای اتصال منجر به از کار افتادن برنامه بارها و بارها می شود. از نو.

بنابراین شما قطعا می خواهید در اسرع وقت این مورد را اصلاح کنید.

چه کاری انجام دهید؟

همانطور که در بالا ذکر شد، شما نیاز دارید OpenSSL 1.1.1s or SSL 3.0.7 را باز کنید برای جایگزینی هر نسخه ای که در حال حاضر دارید.

OpenSSL 1.1.1s یک وصله امنیتی دریافت می کند که به عنوان تعمیر توضیح داده شده است «یک رگرسیون [یک اشکال قدیمی که دوباره ظاهر شد] که در OpenSSL 1.1.1r معرفی شد و داده‌های گواهی را که باید قبل از امضای گواهی امضا شود، تازه نمی‌کند».، آن باگ شدت یا CVE به آن اختصاص داده نشده است…

... اما اجازه ندهید که شما را در اسرع وقت به‌روزرسانی نکنید.

SSL 3.0.7 را باز کنید دو اصلاح با شدت بالا با شماره CVE را دریافت می کند که در بالا ذکر شده است، و حتی اگر آنها در حال حاضر به اندازه جشنواره خبری منتهی به این انتشار ترسناک به نظر نمی رسند، باید فرض کنید که:

• بسیاری از مهاجمان به سرعت متوجه می شوند که چگونه از این حفره ها برای اهداف DoS سوء استفاده کنند. این می تواند در بهترین حالت باعث اختلال در جریان کار و در بدترین حالت امنیت سایبری شود، به خصوص اگر از این اشکال برای کند کردن یا شکستن فرآیندهای خودکار مهم (مانند به روز رسانی) در اکوسیستم فناوری اطلاعات شما سوء استفاده شود.
• برخی از مهاجمان ممکن است بتوانند این اشکالات را برای اجرای کد از راه دور حل کنند. این به مجرمان فرصت خوبی برای استفاده از سرورهای وب به دام انفجاری برای براندازی نرم افزار مشتری می دهد که برای دانلودهای ایمن در تجارت شما استفاده می شود.
• اگر یک اثبات مفهوم (PoC) پیدا شود، توجه زیادی را به خود جلب خواهد کرد. همانطور که از Log4Shell به یاد دارید، به محض انتشار PoCها، هزاران محقق خودخوانده به عنوان «کمک» به مردم برای یافتن، به اینترنت اسکن و حمله کردند. مشکلات در شبکه های آنها

توجه داشته باشید که OpenSSL 1.0.2 هنوز برای مشتریانی که قراردادهای پرداختی با تیم OpenSSL دارند، پشتیبانی و به‌روزرسانی می‌شود، به همین دلیل است که ما هیچ اطلاعاتی برای افشای آن در اینجا نداریم، به جز تأیید اینکه CVE اشکالات شماره گذاری شده در OpenSSL 3.0 برای سری OpenSSL 1.0.2 اعمال نمی شود.

تو می توانی بیشتر بخوانید، و خود را دریافت کنید به روز رسانی OpenSSL، از وب سایت OpenSSL.

اوه، و اگر PoCها شروع به نمایش آنلاین کردند، لطفاً یک آدم باهوش نباشید و با این تصور که شما در هر نوع «تحقیق» «کمک می‌کنید»، آن PoCها را در مقابل رایانه‌های دیگران «آزمایش» کنید.

---