Sizin gibi okuyucular MUO'yu desteklemeye yardımcı oluyor. Sitemizdeki bağlantıları kullanarak bir satın alma işlemi gerçekleştirdiğinizde, bir ortaklık komisyonu kazanabiliriz.
Ekim 2022'nin son haftasında OpenSSL Projesi, OpenSSL kitaplığında bulunan iki güvenlik açığını ortaya çıkardı. Hem CVE-2022-360 hem de CVE-2022-3786, "Kritik" olarak değerlendirilmeleri gerekenden yalnızca 0,2 puan daha düşük olan 8,8 CVSS puanıyla "Yüksek" önem dereceli sorunlar olarak etiketlendi.
Sorun, OpenSSL'nin sertifika tabanlı kimlik doğrulama için gerçekleştirdiği sertifikaların doğrulama sürecinde yatmaktadır. Güvenlik açıklarından yararlanılması, bir saldırganın Hizmet Reddi (DoS) veya hatta Uzaktan Kod Yürütme saldırısı başlatmasına izin verebilir. OpenSSL v3.0.0'dan v3.06'ya kadar bulunan iki zayıflık için yamalar yayınlandı.
OpenSSL Nedir?
OpenSSL, bir istemci ile sunucu arasındaki web trafiği alışverişini güvenli tutmak için uygulanan, yaygın olarak kullanılan bir açık kaynaklı şifreleme komut satırı yardımcı programıdır. Genel ve özel anahtarlar oluşturmak, SSL/TLS sertifikaları yüklemek, sertifika bilgilerini doğrulamak ve şifreleme sağlamak için kullanılır.
Sorun, 17 Ekim 2022'de Polar Bear'ın OpenSSL Project 3.0.0 ila 3.0.6 sürümlerinde bulunan iki üst düzey güvenlik açığını ifşa etmesiyle ortaya çıktı. Güvenlik açıkları CVE-2022-3602 ve CVE-2022-3786'dır.
25 Ekim 2022'de güvenlik açıklarıyla ilgili haberler interneti vurdu. Red Hat Yazılım Mühendisi ve Apache Software Foundation Güvenlikten Sorumlu Başkan Yardımcısı Mark Cox, haberi bir tweet ile duyurdu.
Bir Saldırgan Bu Güvenlik Açıklarından Nasıl Yararlanabilir?
CVE-2022-3602 ve CVE-2022-3786 güvenlik açıkları çifti, tampon taşma saldırısı Bu, kullanıcı bilgilerini ve sunucu özel anahtarlarını ortaya çıkarmak veya uzaktan kod yürütme gerçekleştirmek için sunucu belleği içeriğinin kötüye kullanıldığı bir siber saldırıdır.
CVE-2022-3602
Bu güvenlik açığı, bir saldırganın ad kısıtlaması denetiminde X.509 sertifika doğrulamasında arabellek taşmasından yararlanmasına olanak tanır. Bu, sertifika zinciri doğrulamasından sonra gerçekleşir ve güvenilir bir yayıncıyla eşlenememesine rağmen devam etmek için kötü amaçlı sertifikada bir CA imzası veya sertifika doğrulaması gerektirir.
Saldırgan dahil edebilir kimlik avı düzeni yığında dört baytı aşmak için fabrikasyon bir e-posta adresi oluşturmak gibi. Bu, hizmetin kilitlendikten sonra kullanılamaz hale geldiği bir Hizmet Reddi (DoS) saldırısıyla sonuçlanabilir veya Saldırgan, Uzaktan Kod Yürütme gerçekleştirebilir; bu, uygulamayı kontrol etmek için uzaktan bir kod çalıştırıldığı anlamına gelir. sunucu.
Bu güvenlik açığı, gerçek bir TLS istemcisi kötü amaçlı bir sunucuya veya gerçek bir TLS sunucusu kötü amaçlı bir istemciye bağlanırsa tetiklenebilir.
CVE-2022-3786
Bu güvenlik açığından tıpkı CVE-2022-3602 gibi yararlanılır. Tek fark, bir saldırganın "." karakter (ondalık 46). Ancak CVE-2022-3602'de saldırgan tarafından kontrol edilen yalnızca dört bayttan yararlanılır.
Ünlü "Yüreği Kanayan" Güvenlik Açığı Geriye Dönüşü
2016'da OpenSSL'de "Kritik" önem derecesi verilen benzer bir sorun keşfedildi. Bu, saldırganların savunmasız sunuculardaki gizli anahtarları, parolaları ve diğer hassas bilgileri tehlikeye atmasına olanak tanıyan bir bellek işleme hatasıydı. Rezil böcek olarak bilinir Heartbleed (CVE-2014-0160) ve bugüne kadar 200.000'den fazla makine bu zayıflığa karşı savunmasız kabul ediliyor.
Düzeltme nedir?
Günümüzün siber güvenlik bilincine sahip dünyasında, birçok platform, saldırganları uzak tutmak için yığın taşması korumaları uygular. Bu, arabellek taşmasına karşı gerekli azaltmayı sağlar.
Bu güvenlik açıklarına karşı daha fazla azaltma, OpenSSL'nin en son yayınlanan sürümüne yükseltmeyi içerir. OpenSSL v3.0.0'dan v3.0.6'ya savunmasız olduğundan, OpenSSL v3.0.7'ye yükseltmeniz önerilir. Ancak, kullanırsanız OpenSSL v1.1.1 ve v1.0.2, bu ikisinden etkilenmedikleri için bu sürümleri kullanmaya devam edebilirsiniz. güvenlik açıkları.
İki Güvenlik Açıkından Yararlanmak Zor
Koşullardan biri güvenilir bir CA tarafından imzalanmış hatalı biçimlendirilmiş bir sertifika olduğundan, bu güvenlik açıklarının kötüye kullanılma olasılığı düşüktür. Sürekli artan saldırı ortamı nedeniyle çoğu modern sistem, bu tür saldırılardan kaçınmak için yerleşik güvenlik mekanizmaları uyguladığından emin olur.
Siber güvenlik, yerleşik ve gelişmiş koruma mekanizmalarıyla günümüz dünyasında bir zorunluluktur ve bunun gibi güvenlik açıklarından yararlanılması zordur. OpenSSL tarafından zamanında yayınlanan güvenlik güncellemeleri sayesinde bu güvenlik açıkları için endişelenmenize gerek yok. Sadece sisteminize yama uygulamak ve iyi güvenlik katmanları uygulamak gibi gerekli önlemleri alın ve OpenSSL'yi güvenle kullanabilirsiniz.