ओपनएसएसएल पैच आउट हो गए हैं - क्रिटिकल बग को हाई पर डाउनग्रेड किया गया है, लेकिन फिर भी पैच करें!

हम महत्वपूर्ण सामग्री के साथ शुरुआत करेंगे: व्यापक रूप से प्रतीक्षित ओपनएसएसएल बगफिक्स की घोषणा पिछले सप्ताह की गई थी बाहर हैं.

ओपनएसएसएल 1.1.1 जाता है संस्करण 1.1.1s, और एक सूचीबद्ध सुरक्षा-संबंधी बग को पैच करता है, लेकिन इस बग की कोई सुरक्षा रेटिंग या आधिकारिक CVE नंबर नहीं है।

हम दृढ़ता से अनुशंसा करते हैं कि आप अपडेट करें, लेकिन साइबर सुरक्षा मीडिया में आपने जो महत्वपूर्ण अपडेट देखा होगा वह इस संस्करण पर लागू नहीं होता है।

ओपनएसएसएल 3.0 जाता है 3.0.7 संस्करण, और एक नहीं बल्कि दो CVE-क्रमांकित सुरक्षा बग पैच करता है जिन्हें आधिकारिक तौर पर उच्च गंभीरता पर नामित किया गया है।

हम दृढ़ता से अनुशंसा करते हैं कि आप जितनी जल्दी हो सके अपडेट करें, लेकिन जिस क्रिटिकल फिक्स के बारे में हर कोई बात कर रहा है उसे अब उच्च गंभीरता में डाउनग्रेड कर दिया गया है।

यह ओपनएसएसएल टीम की राय को दर्शाता है:

की पूर्व घोषणाएं CVE-2022-3602 इस मुद्दे को क्रिटिकल बताया। [रिलीज़ नोटों में] वर्णित कुछ कम करने वाले कारकों के आधार पर आगे के विश्लेषण ने इसे उच्च स्तर पर डाउनग्रेड करने के लिए प्रेरित किया है। उपयोगकर्ताओं को अभी भी जल्द से जल्द एक नए संस्करण में अपग्रेड करने के लिए प्रोत्साहित किया जाता है।

विडंबना यह है कि एक दूसरा और समान बग, डब किया गया CVE-2022-3786, की खोज उस समय की गई जब CVE-2022-3602 के लिए फिक्स तैयार किया जा रहा था।

मूल बग केवल एक हमलावर को स्टैक पर चार बाइट्स को भ्रष्ट करने की अनुमति देता है, जो छेद की शोषण क्षमता को सीमित करता है, जबकि दूसरा बग स्टैक ओवरफ्लो के असीमित मात्रा की अनुमति देता है, लेकिन जाहिर तौर पर केवल "डॉट" वर्ण (ASCII 46, या 0x2E) ) बार-बार दोहराया।

टीएलएस प्रमाणपत्र सत्यापन के दौरान दोनों कमजोरियां उजागर होती हैं, जहां एक ठग-फंस क्लाइंट या सर्वर जानबूझकर विकृत टीएलएस प्रमाणपत्र के साथ दूसरे छोर पर सर्वर या क्लाइंट को "पहचान" देता है।

हालांकि इस प्रकार के स्टैक ओवरफ्लो (सीमित आकार में से एक और सीमित डेटा मानों में से एक) ध्वनि के रूप में ध्वनि के रूप में कोड निष्पादन के लिए शोषण करना मुश्किल होगा (विशेष रूप से 64-बिट सॉफ़्टवेयर में, जहां चार बाइट मेमोरी एड्रेस का केवल आधा होता है) …

... वे DoS (सेवा से इनकार) हमलों के लिए आसानी से शोषित होने के लिए लगभग निश्चित हैं, जहां एक दुष्ट प्रमाण पत्र भेजने वाला उस प्रमाणपत्र के प्राप्तकर्ता को अपनी इच्छा से दुर्घटनाग्रस्त कर सकता है।

सौभाग्य से, अधिकांश टीएलएस एक्सचेंजों में सर्वर प्रमाणपत्रों की पुष्टि करने वाले क्लाइंट शामिल होते हैं, न कि दूसरे तरीके से।

उदाहरण के लिए, अधिकांश वेब सर्वरों को साइट को पढ़ने की अनुमति देने से पहले आगंतुकों को एक प्रमाण पत्र के साथ खुद को पहचानने की आवश्यकता नहीं होती है, इसलिए किसी भी काम करने वाले कारनामों की "क्रैश दिशा" दुष्ट सर्वर होने की संभावना है जो असहाय आगंतुकों को दुर्घटनाग्रस्त कर देता है, जिसे आम तौर पर माना जाता है एक दुष्ट आगंतुक द्वारा ब्राउज़ किए जाने पर हर बार क्रैश होने वाले सर्वरों की तुलना में बहुत कम गंभीर।

फिर भी, कोई भी तकनीक जिसके द्वारा हैक किया गया वेब या ईमेल सर्वर किसी विज़िटिंग ब्राउज़र या ईमेल ऐप को अनावश्यक रूप से क्रैश कर सकता है, को खतरनाक माना जाना चाहिए, कम से कम नहीं क्योंकि क्लाइंट सॉफ़्टवेयर द्वारा कनेक्शन को पुनः प्रयास करने के किसी भी प्रयास के परिणामस्वरूप ऐप बार-बार क्रैश हो जाएगा। फिर से।

इसलिए आप निश्चित रूप से चाहते हैं इसके खिलाफ जितनी जल्दी हो सके पैच करें.

क्या करना है?

जैसा कि ऊपर बताया गया है, आपको चाहिए ओपनएसएसएल 1.1.1s or ओपनएसएसएल 3.0.7 इस समय आपके पास जो भी संस्करण है उसे बदलने के लिए।

ओपनएसएसएल 1.1.1s फिक्सिंग के रूप में वर्णित एक सुरक्षा पैच प्राप्त करता है "एक प्रतिगमन [एक पुराना बग जो फिर से प्रकट हुआ] ओपनएसएसएल 1.1.1r में पेश किया गया था जो प्रमाणपत्र पर हस्ताक्षर करने से पहले हस्ताक्षर किए जाने वाले प्रमाणपत्र डेटा को ताज़ा नहीं कर रहा था", उस बग की कोई गंभीरता या सीवीई नियत नहीं है...

...लेकिन ऐसा न करें कि आप जितनी जल्दी हो सके अपडेट करना बंद कर दें।

ओपनएसएसएल 3.0.7 ऊपर सूचीबद्ध दो सीवीई-क्रमांकित उच्च-गंभीरता सुधार प्राप्त करता है, और भले ही वे अब उतने डरावने नहीं लगते हैं जितना कि उन्होंने इस रिलीज़ तक जाने वाले समाचार-उत्सव में किया था, आपको यह मान लेना चाहिए:

• कई हमलावर जल्दी से यह पता लगा लेंगे कि DoS उद्देश्यों के लिए इन छेदों का फायदा कैसे उठाया जाए। इससे वर्कफ़्लो में सबसे अच्छा व्यवधान हो सकता है, और साइबर सुरक्षा की समस्या सबसे खराब हो सकती है, खासकर अगर बग का दुरुपयोग आपके आईटी पारिस्थितिकी तंत्र में महत्वपूर्ण स्वचालित प्रक्रियाओं (जैसे अपडेट) को धीमा करने या तोड़ने के लिए किया जा सकता है।
• कुछ हमलावर रिमोट कोड के निष्पादन के लिए इन बगों से निपटने में सक्षम हो सकते हैं। यह अपराधियों को आपके स्वयं के व्यवसाय में सुरक्षित डाउनलोड के लिए उपयोग किए जाने वाले क्लाइंट सॉफ़्टवेयर को नष्ट करने के लिए बूबी-ट्रैप्ड वेब सर्वर का उपयोग करने का एक अच्छा मौका देगा।
• अगर प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) मिल जाता है, तो यह भारी दिलचस्पी को आकर्षित करेगा। जैसा कि आपको Log4Shell से याद होगा, जैसे ही PoCs प्रकाशित हुए, हजारों स्व-घोषित "शोधकर्ता" लोगों को खोजने में "मदद" करने की आड़ में इंटरनेट-और-हमले-जैसे-जैसे-जैसे बैंडबाजे पर कूद पड़े उनके नेटवर्क पर समस्याएं।

ध्यान दें कि OpenSSL 1.0.2 अभी भी समर्थित और अद्यतन है, लेकिन निजी तौर पर केवल उन ग्राहकों के लिए, जिन्होंने OpenSSL टीम के साथ अनुबंध का भुगतान किया है, यही कारण है कि हमारे पास इसके बारे में खुलासा करने के लिए यहां कोई जानकारी नहीं है, इसके अलावा यह पुष्टि करने के लिए कि CVE ओपनएसएसएल 3.0 में क्रमांकित बग ओपनएसएसएल 1.0.2 श्रृंखला पर लागू नहीं होते हैं।

आप ऐसा कर सकते हैं अधिक पढ़ें, और अपना प्राप्त करें ओपनएसएसएल अपडेट, वहाँ से ओपनएसएसएल वेबसाइट.

ओह, और यदि PoCs ऑनलाइन दिखना शुरू हो जाते हैं, तो कृपया एक चतुर-क्लॉज न बनें और उन PoCs को अन्य लोगों के कंप्यूटरों के खिलाफ "कोशिश" करना शुरू करें, इस धारणा के तहत कि आप किसी भी प्रकार के "शोध" के साथ "मदद" कर रहे हैं।

---