OpenSSL نقص شدت بالا را برطرف می کند که به هکرها اجازه می دهد تا سرورها را خراب کنند


تصویر تلطیف شده از یک قفل شناور.

OpenSSL ، پرکاربردترین کتابخانه نرم افزار برای استقرار رمزگذاری در وب سایت و ایمیل ، آسیب پذیری بسیار جدی را برطرف کرده است که خاموش کردن کامل تعداد زیادی از سرورها را برای هکرها آسان می کند.

OpenSSL ویژگی های رمزنگاری شده با آزمایش زمان را فراهم می کند که پروتکل Transport Layer Security را جایگزین Secure Sockets Layer می کند که داده های منتقل شده بین سرورهای اینترنت و مشتری های کاربر نهایی را رمزگذاری می کند. افرادی که برنامه هایی را استفاده می کنند که از TLS استفاده می کنند ، برای صرفه جویی در وقت و جلوگیری از خطاهای برنامه نویسی به OpenSSL اعتماد می کنند ، این موارد معمولاً هنگام ایجاد برنامه های رمزنگاری غیر رمزگذار است.

نقش مهمی که OpenSSL در امنیت اینترنت بازی می کند در سال 2014 آشکار شد ، زمانی که هکرها شروع به سوiting استفاده از یک آسیب پذیری مهم در کتابخانه منبع باز کردند که به آنها اجازه می داد کلیدهای رمزگذاری ، اطلاعات مشتری و سایر اطلاعات حساس را از سرورهای سراسر جهان بدزدند. Heartbleed ، همانطور که به عنوان یک نقص امنیتی خوانده شد ، نشان می دهد که چگونه چند خط کد معیوب می تواند امنیت بانک ها ، سایت های خبری ، شرکت های حقوقی و غیره را از بین ببرد.

خطای انکار سرویس خرد شده است

روز پنجشنبه ، طرفداران OpenSSL آسیب پذیری را کشف کردند که می تواند باعث خراب شدن سرورها شود ، درصورتی که از کاربر نهایی نامعتبر درخواست درخواستی بدخواهانه دریافت می کنند. CVE-2021-3449 ، زیرا آسیب پذیری خرابی سرور در حال پیگیری است ، نتیجه یک خطای اشاره گر پوچ است. مهندس رمزنگاری فیلیپو والسوردا ، در توییتر گفت که احتمالاً نقص می تواند زودتر از اکنون کشف شود.

وی افزود: “به هر حال ، به نظر می رسد امروز می توانید بیشتر سرورهای OpenSSL را در اینترنت خراب كنید.”

هکرها می توانند با ارسال درخواست مذاکره مجدد سوly به سرور در حین مصافحه اولیه ، از این آسیب پذیری سواستفاده کنند و این باعث ایجاد ارتباط ایمن بین کاربر نهایی و سرور می شود.

طرفداران در بیانیه ای گفتند: “ممکن است سرور OpenSSL TLS خراب شود در صورت ارسال پیام مذاکره مجدد ClientHello مخرب.” “اگر ClientHello هنگام مذاکره مجدد درباره TLSv1.2 پسوند signature_algorithms (جایی که در ClientHello اصلی وجود داشت) را از دست ندهد ، اما شامل پسوند signature_algorithms_cert باشد ، یک تغییر مسیر دایرکتوری NULL رخ می دهد ، در نتیجه سرویس خراب و حمله می کند.”

حامیان وزن را تحسین کردند. محققان آسیب پذیری OpenSSL را در 17 مارس گزارش کردند. توسعه دهندگان نوکیا Peter Kästle و Samuel Sapalski این راه حل را ارائه دادند.

برای تأیید گواهی بای پس بزنید

OpenSSL همچنین یک آسیب پذیری جداگانه را برطرف کرد که در موارد شدید ، از شناسایی و رد برنامه های گواهینامه TLS که به صورت دیجیتالی توسط یک مرجع صدور گواهینامه معتبر مرورگر امضا نشده بودند ، جلوگیری می کرد. این آسیب پذیری ، تحت عنوان CVE-2021-3450 ، شامل تعامل بین پرچم X509_V_FLAG_X509_STRICT موجود در کد و چندین پارامتر است.

شورا روز پنجشنبه توضیح داد:

اگر “هدف” پیکربندی شده باشد ، گزینه بعدی برای تأیید اعتبار سنجی گواهی وجود دارد. تمام مقادیر مشخص شده تعیین شده در libcrypto این بررسی را انجام می دهند. بنابراین ، هنگام تعیین هدف ، زنجیره گواهی همچنان رد خواهد شد ، حتی وقتی از پرچم دقیق استفاده شود. به طور پیش فرض ، یک هدف در روال معمول تأیید سرویس گیرنده libssl و سرور تعیین می شود ، اما می تواند توسط برنامه جایگزین یا حذف شود.

برای تحت تأثیر قرار گرفتن ، برنامه باید صریحاً یک پرچم چک را در X509_V_FLAG_X509_STRICT تنظیم کند و یا هدف بررسی گواهی را تعیین نکند ، یا در مورد برنامه های سرویس گیرنده TLS یا سرور ، هدف پیش فرض را نادیده بگیرد.

نسخه های OpenSSL 1.1.1h به بعد آسیب پذیر هستند. OpenSSL 1.0.2 تحت تأثیر این مسئله نیست. محققان Akamai Xiang Ding و Benjamin Kaduk به ترتیب این خطا را کشف و گزارش کردند. توسط توسعه دهنده Akamai ، Tomáš Mráz وصله شده است.

برنامه هایی که از نسخه آسیب پذیر OpenSSL استفاده می کنند باید در اسرع وقت به OpenSSL 1.1.1k ارتقا یابند.




منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>