Post

OpenSSL v3 İçin Yüksek Zafiyet Uyarısı

KONU: OpenSSL, 2 adet Yeni Yüksek Güvenlik Zafiyeti

Resmi danışma belgesinde yayınlanan (2) iki güvenlik açığı hakkında özet:

  • CVE-2022-3602 – TLS (X.509) sertifikaları doğrulanırken tetiklenebilen 4 baytlık yığın arabellek taşması, CVE-2022-3602, çökmelere veya uzaktan kod yürütülmesine (RCE) neden olmak için kullanılabilir.
  • CVE-2022-3786 – TLS (X.509) sertifikaları doğrulanırken tetiklenebilen, ancak saldırganın taşan verileri kontrol etmesine izin vermeyen, rastgele uzunlukta bir yığın arabellek taşması, CVE-2022-3786, hizmet reddi durumunu tetiklemek için kötü niyetli e-posta adresleri aracılığıyla tehdit aktörleri tarafından kullanılabilir.

OpenSSL, güvenliği arttırmayı amaçlayan, açık kaynak kodlu, SSL ve TLS protokolleri kullanan bir yazılım kütüphanesidir. Genellikle ağ uygulamaları ve sunucular oluşturmak için kullanılmaktadır.

TLS (Taşıma Katmanı Güvenliği) ve SSL (Güvenli Yuva Katmanı) protokollerini uygulamak için bir araç setidir. Bu SSLeay lisansı ve OpenSSL lisansı altında ücretsiz(açık kaynak) olarak sağlanmaktadır.

1995-1998 yılları arasında Eric A. Young ve Tim J. tarafından geliştirilmiştir. Linux, Windows ve Unix işlem sistemlerinde çalışmaktadır. OpenSSL yazılım dili C ve C++ ‘dır. OpenSSL genel olarak sertifika oluşturmaya bu sertifikaları imzalamaya ve dağıtmaya yaramaktadır. Bu oluşturulan sertifika amacına göre ilgili cihazlarda kullanılabilir. OpenSSL farklı dillerde kullanabilmek için aracı programlar bulunmakta ve kullanılmaktadır.

Kimler bu Zafiyetten Etkileniyor?      

ProductVuln Status
Alpine linux Edge (geliştirme dalı) yes
CentOS Stream 9 (geliştirme dalı) yes
Fedora 36 yes
Node.js 17.x 18.x 19.x yes
MacOS Ventura yes
VMware Harbor <=2.6.1 yes
VMware VMware Tools 12.0.0 , 12.1.0 yes
Kali 2022.3 yes
Dockerhub ubuntu latest 3.0.2 yes
Linux Mint 21 yes
Red Hat Enterprise Linux 9 yes
Ubuntu 22.04 LTS yes
Dockerhub centos latest 3.x yes
Ubuntu Squid 3.0.5 5Vulnerable
Dockerhub tomcat latest 3.0.2 yes
Amazon Linux 2 and 2022 yes
AlmaLinux 9Fix
Symantec Endpoint Protection Manager 14.3 RU5 3.0.2 yes
CentOS 9Fix
OpenSUSE OpenSUSE tumbleweed yes
NetApp Clustered Data ONTAP All yes
curl for Windows 7.79.0 - 7.86.0 yes
Dockerhub Mariadb latest version yes
KeePassXC (Windows) 2.7.4 yes
SUSE Manager Server 4.3 yes
Red Hat Enterprise Linux 8 , 9Fix
***Ayrıca, geliştiricileriniz C/C++ kullanıyorsa, kodlarında OpenSSL v3 paketleri kullanıyor olabilirler. İlgili OpenSSL paketlerini kontrol etmelisiniz.

İyi haber şu ki, OpenSSL örneklerine baktığımızda etkilenen sürümlerin ortalaması yalnızca %1,5 civarındadır. Daha eski etkilenmemiş sürümlerin oranı ise %98,5'tir. Bu düşük yaygınlık, Linux dağıtım belgelerinin hızlı bir incelemesiyle açıklanabilir: yalnızca Ubuntu 22 ve RHEL 9 gibi daha yeni sürümler, paket bildirimlerinde OpenSSL 3'ü içerir.

Zafiyetin Global dağılımı:

Kaynak: https://netlas.io

Önemli Ana Bilgilendirmeler: (CVE-2022-3602)

  • Önem Derecesi: Yüksek
  • Bu sorun, 17 Ekim 2022'de Polar Bear tarafından OpenSSL'ye bildirildi.
  • Düzeltmeler Dr Paul Dale tarafından geliştirildi.
  • OpenSSL 3.0.0 ila 3.0.6 sürümleri bu soruna karşı savunmasızdır.
  • OpenSSL 3.0 kullanıcıları OpenSSL 3.0.7'ye yükseltme yapmalıdır.
  • OpenSSL 1.1.1 ve 1.0.2 bu sorundan etkilenmez.
  • Şimdiye kadar bu sorunun istismar edildiğine dair hiçbir kanıtımız yok. (Open SSL) 1 Kasım 2022
  • Gerekli kontroller sonrası 1 Kasım 2022'de CVE düzeyi KRİTİK’ten YÜKSEK’e düşürüldü.

Önemli Ana Bilgilendirmeler: (CVE-2022-3786)

  • Önem Derecesi: Yüksek
  • OpenSSL 3.0.0 ila 3.0.6 sürümleri bu soruna karşı savunmasızdır.
  • OpenSSL 3.0 kullanıcıları OpenSSL 3.0.7'ye yükseltme yapmalıdır.
  • OpenSSL 1.1.1 ve 1.0.2 bu sorundan etkilenmez.
  • Bu sorun 18 Ekim 2022'de Viktor Dukhovni tarafından keşfedildi.
  • Viktor Dukhovni  aynı zamanda CVE-2022-3602'yi araştırıyor.
  • Düzeltmeler Dr Paul Dale tarafından geliştirildi.
  • Şimdiye kadar bu sorunun istismar edildiğine dair hiçbir kanıtımız yok. (Open SSL) 1 Kasım 2022

Bu Güvenlik Danışma Belgesinin orijinal URL'si:
https://www.openssl.org/news/secadv/20221101.txt

OpenSSL önem sınıflandırmalarının ayrıntıları için lütfen bakınız:
https://www.openssl.org/policies/secpolicy.html

(CERT) OpenSSL nin savunmasız bir sürümüyle paketlenmiş yaygın işletim sistemlerinin ve uygulama çalışma zamanlarının bir listesini yayınladı.
https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md

Zaafiyeti Sistemlerinizde kontrol edebilmeniz için bazı toollar:

https://github.com/NCSC-NL/OpenSSL-2022 (Operasyonel bilgiler içerir.)
https://github.com/alicangnll/SpookySSL-Scanner (SSLv3 Scanner for Windows, Linux, macOS)

Haberler:

Türkiye

https://forum.shiftdelete.net/konular/openssl-2-yeni-kritik-guvenlik-zafiyeti-icin-yama-yayinladi.797728

USOM TR-22-0673 (OpenSSL Güvenlik Güncellemesi) bildirimi yayınladı.
https://www.usom.gov.tr/bildirim/tr-22-0673
GLOBAL

https://snyk.io/blog/new-openssl-critical-vulnerability
https://jfrog. com/blog/cve-2022-3602-and-cve-2022-3786-high-severity-openssl-vulnerabilities-finally-published
https://about.gitlab.com/blog/2022/11/01/new-openssl-30-vulnerabilities-what-you-need-to-know-to-find-and-fix-them

Öneriler - Hafifletme

  • Hem CVE-2022-3602 hem de CVE-2022-3786 için önerilen temel düzeltme, OpenSSL'yi acilen 3.0.7 sürümüne yükseltmektir.
  • Ubuntu 22.04 kullanıcıları “openssl” paketini 3.0.2-0ubuntu1.7 sürümüne yükseltebilir.
  • Red Hat Enterprise Linux 9 kullanıcıları, “openssl” paketini openssl-3.0.1-43.el9_0 sürümüne yükseltebilir.
  • vb.

Umarım yararlı olmuştur. – I hope it was helpful

This post is licensed under CC BY 4.0 by the author.