وصله امنیتی جدید OpenSSL‌ منتشر شد

کمیته رکن چهارم – مهندسان OpenSSL وصله امنیتی جدیدی را برای این نرم‌افزار منتشر کردند که دو آسیب‌پذیری را برطرف کرده است.

OpenSSL وصله‌هایی را برای رفع دو آسیب‌پذیری با شدت بالا در کتابخانه رمزنگاری پرکاربرد خود، ارائه داد. این آسیب‌پذیری‌ها می‌توانند منجر به حمله انکار سرویس (DoS) و اجرای کد از راه دور شوند.

این آسیب‌پذیری‌ها با شناسه‌های CVE-2022-3602 و CVE-2022-3786، موسوم به آسیب‌پذیری‌های buffer overrun، در طول پروسه اعتبارسنجی گواهینامه X.۵۰۹ می‌توانند با ارائه یک آدرس ایمیل ساختگی فعال شوند. در یک کلاینت TLS، آسیب‌پذیری CVE-۲۰۲۲-۳۷۸۶ می‌تواند با اتصال به یک سرور مخرب فعال شود.

در یک سرور TLS هم در صورتیکه سرور درخواست احراز هویت مشتری و اتصال یک کلاینت مخرب وجود داشته باشد، آسیب‌پذیری می‌تواند فعال شود. OpenSSL یک پیاده‌سازی از پروتکل‌های SSL و TLS است که برای ارتباطات ایمن استفاده می‌شود و در طیف زیادی از سیستم‌عامل‌ها و نرم‌افزارها استفاده شده است.

شرکت امنیت سایبری Rapid۷ خاطرنشان کرد که امکان بهره برداری ازاین آسیب‌پذیری به طور قابل توجهی محدود است، زیرا این نقص‌ امنیتی پس از اعتبارسنجی گواهینامه رخ می‌دهد.

نسخه‌های ۳.۰.۰ تا ۳.۰.۶ OpenSSL تحت‌‎تأثیر آسیب‌پذیری مذکور قرار خواهند گرفت.

این نقص‌های امنیتی در نسخه ۳.۰.۷ نرم‌افزار OpenSSL اصلاح شده است. شایان ذکر است که نسخه‌های OpenSSL ۱.x آسیب‌پذیر نیستند. با توجه به اهمیت آسیب‌پذیری مذکور، به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار خود را به‌روزرسانی کنند. طبق بررسی‌های صورت گرفته توسط Censys، حدود ۷۰۶۲ هاست نسخه حساس OpenSSL را تا ۳۰ اکتبر ۲۰۲۲ اجرا می‌کنند که اکثر آن‌ها در ایالات متحده، آلمان، ژاپن، چین، چک، بریتانیا، فرانسه، روسیه، کانادا و هلند مستقر هستند. این آسیب‌پذیری بر صدور یا استفاده از گواهینامه‌ها تأثیری ندارد و هیچ سازمانی نیازی به ابطال یا صدور مجدد آن‌ها ندارد.

منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.