اوپن ایس ایس ایل پیچ ختم ہو گئے ہیں – کریٹیکل بگ کو گھٹا کر ہائی پر کر دیا گیا، لیکن پھر بھی پیچ!

ہم اہم چیزوں کے ساتھ شروع کریں گے: بڑے پیمانے پر منتظر OpenSSL بگ فکسز کا گزشتہ ہفتے اعلان کیا گیا تھا۔ باہر ہیں.

OpenSSL 1.1.1 پر جاتا ہے۔ ورژن 1.1.1s، اور ایک درج کردہ سیکیورٹی سے متعلق بگ کو پیچ کرتا ہے، لیکن اس بگ کی سیکیورٹی کی درجہ بندی یا سرکاری CVE نمبر نہیں ہے۔

ہم پرزور مشورہ دیتے ہیں کہ آپ اپ ڈیٹ کریں، لیکن آپ نے سائبر سیکیورٹی میڈیا میں جو CRITICAL اپ ڈیٹ دیکھا ہوگا اس کا اطلاق اس ورژن پر نہیں ہوتا ہے۔

OpenSSL 3.0 پر جاتا ہے۔ ورژن 3.0.7، اور پیچ ایک نہیں بلکہ دو CVE نمبر والے حفاظتی کیڑے ہیں جو اعلی شدت پر سرکاری طور پر نامزد ہیں۔

ہم پرزور مشورہ دیتے ہیں کہ آپ اپ ڈیٹ کریں، جتنی جلدی آپ اکٹھا کر سکتے ہیں، لیکن جس اہم حل کے بارے میں ہر کوئی بات کر رہا ہے اسے اب انتہائی شدت میں گھٹا دیا گیا ہے۔

یہ OpenSSL ٹیم کی رائے کی عکاسی کرتا ہے:

کے پہلے سے اعلانات CVE-2022-3602 نے اس مسئلے کو CRITICAL قرار دیا۔ بیان کردہ کچھ تخفیف کرنے والے عوامل پر مبنی مزید تجزیہ [ریلیز نوٹوں میں] اس کو گھٹا کر ہائی پر لے گیا ہے۔ صارفین کو اب بھی حوصلہ افزائی کی جاتی ہے کہ وہ جلد از جلد نئے ورژن میں اپ گریڈ کریں۔

ستم ظریفی یہ ہے کہ ایک دوسرا اور اسی طرح کا بگ، ڈب CVE-2022-3786، اس وقت دریافت کیا گیا جب CVE-2022-3602 کے لیے فکس تیار کیا جا رہا تھا۔

اصل بگ صرف حملہ آور کو اسٹیک پر چار بائٹس کو خراب کرنے کی اجازت دیتا ہے، جو سوراخ کے استحصال کو محدود کرتا ہے، جبکہ دوسرا بگ اسٹیک اوور فلو کی لامحدود مقدار کی اجازت دیتا ہے، لیکن بظاہر صرف "ڈاٹ" کریکٹر (ASCII 46، یا 0x2E) ) بار بار دہرایا گیا۔

دونوں کمزوریاں TLS سرٹیفکیٹ کی تصدیق کے دوران سامنے آتی ہیں، جہاں ایک بوبی پھنسے ہوئے کلائنٹ یا سرور دوسرے سرے پر سرور یا کلائنٹ کو جان بوجھ کر خراب TLS سرٹیفکیٹ کے ساتھ "شناخت" کرتا ہے۔

اگرچہ اس طرح کے اسٹیک اوور فلو (ایک محدود سائز کا اور دوسرا محدود ڈیٹا ویلیوز کا) ایسا لگتا ہے جیسے کوڈ پر عمل درآمد کے لیے ان کا استحصال کرنا مشکل ہوگا (خاص طور پر 64 بٹ سافٹ ویئر میں، جہاں چار بائٹس میموری ایڈریس کا صرف نصف ہیں) …

…وہ تقریباً یقینی ہیں کہ DoS (سروس سے انکار) حملوں کے لیے آسانی سے فائدہ اٹھا سکتے ہیں، جہاں بدمعاش سرٹیفکیٹ بھیجنے والا اس سرٹیفکیٹ کے وصول کنندہ کو اپنی مرضی سے کریش کر سکتا ہے۔

خوش قسمتی سے، زیادہ تر TLS ایکسچینجز میں سرور سرٹیفکیٹس کی تصدیق کرنے والے کلائنٹ شامل ہوتے ہیں، نہ کہ دوسری طرف۔

زیادہ تر ویب سرورز، مثال کے طور پر، زائرین کو سائٹ کو پڑھنے کی اجازت دینے سے پہلے کسی سرٹیفکیٹ کے ساتھ خود کو شناخت کرنے کی ضرورت نہیں ہے، لہذا کسی بھی کام کرنے والے کارناموں کی "کریش ڈائریکشن" کا امکان ہے کہ بدمعاش سرورز بے بس وزیٹرز کو کریش کرتے ہیں، جسے عام طور پر سمجھا جاتا ہے۔ ہر بار جب کسی ایک بدمعاش وزیٹر کے ذریعے براؤز کیا جاتا ہے تو سرورز کے کریش ہونے سے بہت کم شدید۔

بہر حال، کوئی بھی ایسی تکنیک جس کے ذریعے ہیک شدہ ویب یا ای میل سرور بلاوجہ کسی وزٹنگ براؤزر یا ای میل ایپ کو کریش کر سکتا ہے، اسے خطرناک سمجھا جانا چاہیے، کم از کم اس لیے کہ کلائنٹ سافٹ ویئر کی جانب سے کنکشن کو دوبارہ آزمانے کی کسی بھی کوشش کے نتیجے میں ایپ بار بار کریش ہو جائے گی۔ دوبارہ

لہذا آپ یقینی طور پر چاہتے ہیں۔ جتنی جلدی ہو سکے اس کے خلاف پیچ کریں۔.

کیا کیا جائے؟

جیسا کہ اوپر ذکر کیا گیا ہے، آپ کو ضرورت ہے OpenSSL 1.1.1s or اوپن ایس ایل 3.0.7 اس وقت آپ کے پاس جو بھی ورژن ہے اسے تبدیل کرنے کے لیے۔

OpenSSL 1.1.1s فکسنگ کے طور پر بیان کردہ سیکیورٹی پیچ حاصل کرتا ہے۔ "ایک ریگریشن [ایک پرانا بگ جو دوبارہ ظاہر ہوا] OpenSSL 1.1.1r میں متعارف کرایا گیا ہے جو سرٹیفکیٹ پر دستخط کرنے سے پہلے دستخط کرنے والے سرٹیفکیٹ ڈیٹا کو تازہ نہیں کرتا ہے"، اس بگ کی کوئی شدت یا CVE نہیں ہے اسے تفویض کیا گیا ہے…

…لیکن یہ آپ کو جلد از جلد اپ ڈیٹ کرنے سے باز نہ آنے دیں۔

اوپن ایس ایل 3.0.7 اوپر درج دو CVE نمبر والے ہائی سیوریٹی فکسز حاصل کرتے ہیں، اور اگرچہ وہ اب اتنے خوفناک نہیں لگ رہے ہیں جتنا کہ اس ریلیز تک نیوز فیسٹیول میں تھا، آپ کو یہ فرض کرنا چاہیے کہ:

• بہت سے حملہ آور فوری طور پر یہ جان لیں گے کہ DoS مقاصد کے لیے ان سوراخوں سے کیسے فائدہ اٹھایا جائے۔ اس سے کام کے بہاؤ میں سب سے زیادہ خلل پڑ سکتا ہے، اور بدترین طور پر سائبر سیکیورٹی کی پریشانی ہو سکتی ہے، خاص طور پر اگر آپ کے IT ایکو سسٹم میں اہم خودکار عمل (جیسے اپ ڈیٹس) کو سست کرنے یا توڑنے کے لیے بگ کا غلط استعمال کیا جا سکتا ہے۔
• کچھ حملہ آور ریموٹ کوڈ پر عمل درآمد کے لیے ان کیڑوں کو حل کرنے کے قابل ہو سکتے ہیں۔ اس سے مجرموں کو آپ کے اپنے کاروبار میں محفوظ ڈاؤن لوڈز کے لیے استعمال ہونے والے کلائنٹ سافٹ ویئر کو خراب کرنے کے لیے بوبی ٹریپڈ ویب سرور استعمال کرنے کا ایک اچھا موقع ملے گا۔
• اگر تصور کا ثبوت (PoC) مل جاتا ہے، تو اس میں بہت زیادہ دلچسپی پیدا ہوگی۔ جیسا کہ آپ کو Log4Shell سے یاد ہوگا، جیسے ہی PoCs شائع ہوئے، ہزاروں خود ساختہ "محققین" لوگوں کو تلاش کرنے میں "مدد" کرنے کی آڑ میں اسکین-دی-انٹرنیٹ-اور-اٹیک-ایس-یو-بینڈ ویگن پر کود پڑے۔ ان کے نیٹ ورک پر مسائل

نوٹ کریں کہ OpenSSL 1.0.2 اب بھی تعاون یافتہ اور اپ ڈیٹ ہے، لیکن نجی طور پر صرف ان صارفین کے لیے جنہوں نے OpenSSL ٹیم کے ساتھ معاہدوں کی ادائیگی کی ہے، اسی لیے ہمارے پاس اس کے بارے میں یہاں ظاہر کرنے کے لیے کوئی معلومات نہیں ہے، اس بات کی تصدیق کرنے کے علاوہ کہ CVE -OpenSSL 3.0 میں نمبر والے کیڑے OpenSSL 1.0.2 سیریز پر لاگو نہیں ہوتے ہیں۔

آپ مزید پڑھ، اور اپنا حاصل کریں۔ اوپن ایس ایس ایل اپڈیٹس، سے اوپن ایس ایس ایل ویب سائٹ.

اوہ، اور اگر PoCs آن لائن ظاہر ہونے لگتے ہیں، تو براہ کرم چالاک نہ بنیں اور ان PoCs کو دوسرے لوگوں کے کمپیوٹرز کے خلاف اس تاثر کے تحت "آزمانا" شروع کریں کہ آپ کسی بھی قسم کی "تحقیق" میں "مدد" کر رہے ہیں۔

---