आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं।
अक्टूबर 2022 के अंतिम सप्ताह में, OpenSSL प्रोजेक्ट ने OpenSSL लाइब्रेरी में पाई गई दो कमजोरियों का खुलासा किया। CVE-2022-360 और CVE-2022-3786 दोनों को 8.8 के CVSS स्कोर के साथ "उच्च" गंभीरता के मुद्दों के रूप में लेबल किया गया है, जो कि उन्हें "गंभीर" माने जाने की आवश्यकता से केवल 0.2 अंक कम है।
समस्या प्रमाणपत्रों की सत्यापन प्रक्रिया में निहित है जो OpenSSL प्रमाणपत्र-आधारित प्रमाणीकरण के लिए करता है। भेद्यता का शोषण एक हमलावर को सेवा से इनकार (डीओएस) या यहां तक कि रिमोट कोड निष्पादन हमले शुरू करने की अनुमति दे सकता है। OpenSSL v3.0.0 से v3.06 में पाई गई दो कमजोरियों के पैच अब जारी कर दिए गए हैं।
ओपनएसएसएल क्या है?
ओपनएसएसएल क्लाइंट और सर्वर के बीच वेब ट्रैफिक एक्सचेंज को सुरक्षित रखने के लिए व्यापक रूप से इस्तेमाल किया जाने वाला ओपन-सोर्स क्रिप्टोग्राफी कमांड लाइन यूटिलिटी है। इसका उपयोग सार्वजनिक और निजी कुंजी उत्पन्न करने, एसएसएल/टीएलएस प्रमाणपत्र स्थापित करने, प्रमाणपत्र जानकारी सत्यापित करने और एन्क्रिप्शन प्रदान करने के लिए किया जाता है।
यह मुद्दा 17 अक्टूबर, 2022 को सामने आया, जब ध्रुवीय भालू ने OpenSSL संस्करण 3.0.0 से 3.0.6 में पाई गई दो उच्च-स्तरीय कमजोरियों का खुलासा OpenSSL प्रोजेक्ट के लिए किया। भेद्यताएं CVE-2022-3602 और CVE-2022-3786 हैं।
25 अक्टूबर, 2022 को, भेद्यता की खबर ने इंटरनेट पर धूम मचा दी। मार्क कॉक्स, एक रेड हैट सॉफ्टवेयर इंजीनियर और अपाचे सॉफ्टवेयर फाउंडेशन वीपी ऑफ सिक्योरिटी ने एक ट्वीट में इस खबर को तोड़ दिया।
एक हमलावर इन कमजोरियों का फायदा कैसे उठा सकता है?
भेद्यताओं की जोड़ी CVE-2022-3602 और CVE-2022-3786 से ग्रस्त हैं बफर अतिप्रवाह हमला जो एक साइबर-हमला है जिसमें उपयोगकर्ता की जानकारी और सर्वर निजी कुंजियों को प्रकट करने या रिमोट कोड निष्पादन करने के लिए सर्वर मेमोरी सामग्री का दुरुपयोग किया जाता है।
सीवीई-2022-3602
यह भेद्यता एक हमलावर को नाम की बाधा जाँच में X.509 प्रमाणपत्र सत्यापन में बफ़र ओवररन का लाभ उठाने की अनुमति देती है। यह प्रमाणपत्र श्रृंखला सत्यापन के बाद होता है और किसी विश्वसनीय जारीकर्ता को मैप करने में विफलता के बावजूद जारी रखने के लिए दुर्भावनापूर्ण प्रमाणपत्र या प्रमाणपत्र सत्यापन पर सीए हस्ताक्षर की आवश्यकता होती है।
एक हमलावर शामिल हो सकता है एक फ़िशिंग योजना जैसे स्टैक पर चार बाइट ओवरफ्लो करने के लिए एक गढ़ा हुआ ईमेल पता बनाना। इसका परिणाम डेनियल-ऑफ़-सर्विस (DoS) हमला हो सकता है जिसमें क्रैश होने के बाद सेवा अनुपलब्ध हो जाती है, या हमलावर रिमोट कोड निष्पादन कर सकता है, जिसका अर्थ है कि एप्लिकेशन को नियंत्रित करने के लिए कोड को दूरस्थ रूप से चलाया जाता है सर्वर।
यदि कोई प्रामाणिक TLS क्लाइंट दुर्भावनापूर्ण सर्वर से कनेक्ट होता है या यदि कोई प्रामाणिक TLS सर्वर किसी दुर्भावनापूर्ण क्लाइंट से कनेक्ट होता है, तो यह भेद्यता शुरू हो सकती है।
सीवीई-2022-3786
इस भेद्यता का CVE-2022-3602 की तरह ही शोषण किया जाता है। एकमात्र अंतर यह है कि एक हमलावर "।" युक्त बाइट्स की मनमानी संख्या को ओवरफ्लो करने के लिए एक दुर्भावनापूर्ण ईमेल पता बनाता है। चरित्र (दशमलव 46)। हालाँकि, CVE-2022-3602 में, हमलावर द्वारा नियंत्रित केवल चार बाइट्स का शोषण किया जाता है।
कुख्यात "हार्टब्लीड" भेद्यता फ्लैशबैक
2016 में वापस, OpenSSL में एक समान समस्या का पता चला था जिसे "गंभीर" गंभीरता रेटिंग दी गई थी। यह एक मेमोरी-हैंडलिंग बग था जिसने हमलावरों को कमजोर सर्वरों में गुप्त कुंजी, पासवर्ड और अन्य संवेदनशील जानकारी से समझौता करने की अनुमति दी थी। कुख्यात बग के रूप में जाना जाता है हार्टब्लीड (CVE-2014-0160) और आज तक, 200,000 से अधिक मशीनों को इस कमजोरी के प्रति संवेदनशील माना जाता है।
क्या ठीक है?
आज की साइबर-सुरक्षा-जागरूक दुनिया में, हमलावरों को दूर रखने के लिए कई प्लेटफॉर्म स्टैक ओवरफ्लो सुरक्षा लागू करते हैं। यह बफर ओवरफ्लो के खिलाफ आवश्यक शमन प्रदान करता है।
इन कमजोरियों के खिलाफ और अधिक शमन में ओपनएसएसएल के नवीनतम जारी किए गए संस्करण में अपग्रेड करना शामिल है। जैसा कि OpenSSL v3.0.0 से v3.0.6 असुरक्षित है, यह अनुशंसा की जाती है कि आप OpenSSL v3.0.7 में अपग्रेड करें। हालाँकि, यदि आप उपयोग करते हैं OpenSSL v1.1.1 और v1.0.2, आप इन संस्करणों का उपयोग जारी रख सकते हैं क्योंकि वे दोनों से प्रभावित नहीं हैं भेद्यता।
दो कमजोरियों का शोषण करना कठिन है
इन भेद्यताओं के दुरुपयोग की संभावना कम है क्योंकि शर्तों में से एक एक विश्वसनीय सीए द्वारा हस्ताक्षरित एक विकृत प्रमाणपत्र है। लगातार बढ़ते हमले के परिदृश्य के कारण, अधिकांश आधुनिक प्रणालियाँ इस प्रकार के हमलों से बचने के लिए अंतर्निहित सुरक्षा तंत्रों को लागू करना सुनिश्चित करती हैं।
आज की दुनिया में साइबर सुरक्षा एक आवश्यकता है, अंतर्निहित और उन्नत सुरक्षा तंत्र के साथ, इस तरह की कमजोरियों का फायदा उठाना मुश्किल है। ओपनएसएसएल द्वारा समय पर जारी किए गए सुरक्षा अद्यतनों के लिए धन्यवाद, आपको इन कमजोरियों के बारे में चिंता करने की आवश्यकता नहीं है। बस अपने सिस्टम को पैच करने और सुरक्षा की अच्छी परतों को लागू करने जैसे आवश्यक उपाय करें और आप OpenSSL का उपयोग करने के लिए सुरक्षित हैं।
