کمیته رکن چهارم – یک آسیبپذیری در اسکریپت c_rehash مورد استفاده در OPENSSL شناسایی شدهاست.
بنابر گزارش منتشر شده در وبسایت رسمی OpenSSL، آسیبپذیری امنیتی با شناسه CVE-۲۰۲۲-۱۲۹۲ در اسکریپت c_rehash مورد استفاده در OpenSSL کشف شده است. شدت این آسیبپذیری ۹.۸ و درجه خطر آن بحرانی است.
در این اسکریپت، متاکاراکترهای شل بهدرستی پاکسازی نمیگردد. متاکاراکترها، کاراکترهایی هستند که برای اهداف مختلف در شل استفاده میشوند. بنابراین میتوان حمله تزریق دستور Command injection)) انجام داد. تزریق دستور به حملهای گفته میشود که هدف آن اجرای دستورات دلخواه بر روی سیستمعامل میزبان از طریق یک برنامه آسیبپذیر است. این حملات زمانی امکانپذیر است که یک برنامه، دادههای ناامن ارائهشده توسط کاربر را به شل سیستم ارسال کند. این اسکریپت در بعضی از سیستمعاملها بهگونهای است که میتواند بهصورت خودکار اجرا شود. در چنین سیستمعاملهایی مهاجم میتواند دستورات دلخواه خود را با داشتن دسترسی اجرا کند.
این آسیبپذیری نسخههای ۱.۰.۲ ، ۱.۱.۱ و ۳.۰ را تحت تأثیر خود قرار میدهد. استفاده از اسکریپت c_rehash منسوخ تلقی میشود و باید با ابزار خط فرمان OpenSSL rehash جایگزین شود.
کاربران باید OpenSSL خود را به نسخههای ۱.۰.۲ze ، ۱.۱.۱o و ۳.۰.۳ بهروزرسانی کنند
منبع : مرکز ماهر
