تصحيح OpenSSL 3 ، الذي كان مستوى Heartbleed "حرجًا" ، يصل إلى مستوى "مرتفع" أقل
تصحيح OpenSSL 3 ، الذي كان مستوى Heartbleed "حرجًا" ، يصل إلى مستوى "مرتفع" أقل
تم الإبلاغ مرة واحدة عن ثغرة في OpenSSL كأول تصحيح ذي مستوى حرج منذ أن تم تصحيح خطأ إعادة تشكيل الإنترنت في Heartbleed. لقد وصل أخيرًا كإصلاح أمني "عالي" لتجاوز سعة المخزن المؤقت ، والذي يؤثر على جميع تثبيتات OpenSSL 3.x ، ولكن من غير المحتمل أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
تم الإعلان عن الإصدار 3.0.7 من OpenSSL الأسبوع الماضي كإصدار تصحيح أمان مهم. كانت الثغرات الأمنية المحددة (الآن CVE-2022-37786 و CVE-2022-3602) غير معروفة إلى حد كبير حتى اليوم ، لكن المحللين والشركات الأمنية على شبكة الإنترنت ألمحوا إلى احتمال وجود مشكلات ملحوظة ومشكلات في الصيانة. بعض توزيعات Linux ، بما في ذلك Fedora ، أخرت الإصدارات حتى يتوفر التصحيح. لاحظ عملاق البيع بالتجزئة Akamai قبل التصحيح أن نصف شبكاته المراقبة لديها جهاز واحد على الأقل به مثيل OpenSSL 3.x ضعيف ، ومن بين هذه الشبكات ، كان ما بين 0.2 و 33 ٪ من الأجهزة عرضة للخطر.
ولكن الثغرات الأمنية المحددة (فيض من جانب العميل في ظروف محدودة يتم تخفيفها بواسطة تخطيط المكدس في معظم الأنظمة الأساسية الحديثة) تم إصلاحها الآن وتصنيفها على أنها "عالية". ومع استمرار OpenSSL 1.1.1 في مرحلة الدعم طويل المدى ، فإن OpenSSL 3.x ليس واسع الانتشار.
يشير خبير البرامج الضارة Marcus Hutchins إلى التزام OpenSSL على GitHub الذي يوضح بالتفصيل مشكلات التعليمات البرمجية: "تم إصلاح فائضين مؤقتين في وظائف فك تشفير الشفرة الصغيرة". يمكن أن يتجاوز عنوان البريد الإلكتروني الضار ، الذي تم التحقق منه في شهادة X.509 ، وحدات البايت على مكدس ، مما يؤدي إلى تعطل أو احتمال تنفيذ التعليمات البرمجية عن بُعد ، اعتمادًا على النظام الأساسي والتكوين.
لكن هذه الثغرة الأمنية تؤثر بشكل أساسي على العملاء ، وليس الخوادم ، لذا من المحتمل ألا يتبع ذلك النوع نفسه من إعادة تعيين الأمان على مستوى الإنترنت (والهراء) لـ Heartbleed. قد تتأثر شبكات VPN التي تستخدم OpenSSL 3.x ، على سبيل المثال ، ولغات مثل Node.js. يشير خبير الأمن السيبراني كيفين بومونت إلى أن الحماية من تجاوز التدفق المكدس في التكوينات الافتراضية لمعظم توزيعات Linux يجب أن تمنع تنفيذ التعليمات البرمجية.
ما الذي تغير بين إعلان المستوى الحرج والإصدار عالي المستوى؟ يكتب فريق OpenSSL Security Team في منشور مدونة أنه في غضون أسبوع تقريبًا كانت المؤسسات تختبر وتقدم التعليقات. في بعض توزيعات Linux ، تجاوز السعة 4 بايت المحتمل مع هجوم تجاوز المخزن المؤقت المجاور غير المستخدم ، وبالتالي لا يمكن تعطل النظام أو تنفيذ التعليمات البرمجية. سمحت الثغرة الأخرى للمهاجم فقط بتحديد مدة تجاوز السعة ، وليس المحتوى.
لذا في حين أن الأعطال ممكنة دائمًا ويمكن ترتيب بعض التكديس لجعل تنفيذ التعليمات البرمجية عن بُعد ممكنًا ، فإن هذا ليس محتملًا ولا سهلًا ، مما يقلل من الثغرات الأمنية إلى "عالية". ومع ذلك ، يجب على مستخدمي أي تطبيق OpenSSL 3.x إصلاحه في أسرع وقت ممكن. ويجب على الجميع التحقق من تحديثات البرامج وأنظمة التشغيل التي يمكنها إصلاح هذه المشكلات في الأنظمة الفرعية المختلفة.
تشير خدمة مراقبة Datadog ، في ملخص جيد للمشكلة ، إلى أن فريق البحث الأمني التابع لها كان قادرًا على تعطيل عملية نشر Windows باستخدام إصدار OpenSSL 3.x في إثبات المفهوم. وبينما قد لا تكون عمليات نشر Linux قابلة للتطبيق ، "أ ...
تم الإبلاغ مرة واحدة عن ثغرة في OpenSSL كأول تصحيح ذي مستوى حرج منذ أن تم تصحيح خطأ إعادة تشكيل الإنترنت في Heartbleed. لقد وصل أخيرًا كإصلاح أمني "عالي" لتجاوز سعة المخزن المؤقت ، والذي يؤثر على جميع تثبيتات OpenSSL 3.x ، ولكن من غير المحتمل أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
تم الإعلان عن الإصدار 3.0.7 من OpenSSL الأسبوع الماضي كإصدار تصحيح أمان مهم. كانت الثغرات الأمنية المحددة (الآن CVE-2022-37786 و CVE-2022-3602) غير معروفة إلى حد كبير حتى اليوم ، لكن المحللين والشركات الأمنية على شبكة الإنترنت ألمحوا إلى احتمال وجود مشكلات ملحوظة ومشكلات في الصيانة. بعض توزيعات Linux ، بما في ذلك Fedora ، أخرت الإصدارات حتى يتوفر التصحيح. لاحظ عملاق البيع بالتجزئة Akamai قبل التصحيح أن نصف شبكاته المراقبة لديها جهاز واحد على الأقل به مثيل OpenSSL 3.x ضعيف ، ومن بين هذه الشبكات ، كان ما بين 0.2 و 33 ٪ من الأجهزة عرضة للخطر.
ولكن الثغرات الأمنية المحددة (فيض من جانب العميل في ظروف محدودة يتم تخفيفها بواسطة تخطيط المكدس في معظم الأنظمة الأساسية الحديثة) تم إصلاحها الآن وتصنيفها على أنها "عالية". ومع استمرار OpenSSL 1.1.1 في مرحلة الدعم طويل المدى ، فإن OpenSSL 3.x ليس واسع الانتشار.
يشير خبير البرامج الضارة Marcus Hutchins إلى التزام OpenSSL على GitHub الذي يوضح بالتفصيل مشكلات التعليمات البرمجية: "تم إصلاح فائضين مؤقتين في وظائف فك تشفير الشفرة الصغيرة". يمكن أن يتجاوز عنوان البريد الإلكتروني الضار ، الذي تم التحقق منه في شهادة X.509 ، وحدات البايت على مكدس ، مما يؤدي إلى تعطل أو احتمال تنفيذ التعليمات البرمجية عن بُعد ، اعتمادًا على النظام الأساسي والتكوين.
لكن هذه الثغرة الأمنية تؤثر بشكل أساسي على العملاء ، وليس الخوادم ، لذا من المحتمل ألا يتبع ذلك النوع نفسه من إعادة تعيين الأمان على مستوى الإنترنت (والهراء) لـ Heartbleed. قد تتأثر شبكات VPN التي تستخدم OpenSSL 3.x ، على سبيل المثال ، ولغات مثل Node.js. يشير خبير الأمن السيبراني كيفين بومونت إلى أن الحماية من تجاوز التدفق المكدس في التكوينات الافتراضية لمعظم توزيعات Linux يجب أن تمنع تنفيذ التعليمات البرمجية.
ما الذي تغير بين إعلان المستوى الحرج والإصدار عالي المستوى؟ يكتب فريق OpenSSL Security Team في منشور مدونة أنه في غضون أسبوع تقريبًا كانت المؤسسات تختبر وتقدم التعليقات. في بعض توزيعات Linux ، تجاوز السعة 4 بايت المحتمل مع هجوم تجاوز المخزن المؤقت المجاور غير المستخدم ، وبالتالي لا يمكن تعطل النظام أو تنفيذ التعليمات البرمجية. سمحت الثغرة الأخرى للمهاجم فقط بتحديد مدة تجاوز السعة ، وليس المحتوى.
لذا في حين أن الأعطال ممكنة دائمًا ويمكن ترتيب بعض التكديس لجعل تنفيذ التعليمات البرمجية عن بُعد ممكنًا ، فإن هذا ليس محتملًا ولا سهلًا ، مما يقلل من الثغرات الأمنية إلى "عالية". ومع ذلك ، يجب على مستخدمي أي تطبيق OpenSSL 3.x إصلاحه في أسرع وقت ممكن. ويجب على الجميع التحقق من تحديثات البرامج وأنظمة التشغيل التي يمكنها إصلاح هذه المشكلات في الأنظمة الفرعية المختلفة.
تشير خدمة مراقبة Datadog ، في ملخص جيد للمشكلة ، إلى أن فريق البحث الأمني التابع لها كان قادرًا على تعطيل عملية نشر Windows باستخدام إصدار OpenSSL 3.x في إثبات المفهوم. وبينما قد لا تكون عمليات نشر Linux قابلة للتطبيق ، "أ ...
