Bilgisayar korsanlarının sunucuları çökertmesine izin veren yüksek önem derecesine sahip kusurları düzeltme

Bilgisayar korsanlarının sunucuları çökertmesine izin veren yüksek önem derecesine sahip kusurları düzeltme

Web sitesi ve e-posta şifrelemesini uygulamak için en yaygın olarak kullanılan yazılım kitaplığı olan OpenSSL, bilgisayar korsanlarının çok sayıda sunucuyu tamamen kapatmasını kolaylaştıran yüksek önem derecesine sahip bir güvenlik açığına yama uyguladı.

OpenSSL, İnternet sunucuları ile son kullanıcı istemcileri arasındaki veri akışını şifreleyen Güvenli Yuva Katmanı'nın halefi olan Taşıma Katmanı Güvenliği protokolünü uygulayan, zaman içinde test edilmiş şifreleme işlevleri sağlar. TLS kullanan uygulamalar geliştiren kişiler, zaman kazanmak ve şifreleme uzmanı olmayanlar karmaşık şifreleme kullanan uygulamalar oluştururken yaygın olan programlama hatalarından kaçınmak için OpenSSL'ye güvenirler.

OpenSSL'nin İnternet güvenliğinde oynadığı önemli rol, 2014 yılında bilgisayar korsanlarının açık kaynak kod kitaplığındaki şifreleme anahtarlarını, müşteri bilgilerini ve dünyanın her yerindeki sunuculardan diğer hassas verileri çalmalarına izin veren kritik bir güvenlik açığından yararlanmaya başlamasıyla tam olarak ortaya çıktı. Güvenlik açığı olarak adlandırılan kalp kanaması, birkaç satırlık hatalı kodun bankaların, haber sitelerinin, hukuk firmalarının ve daha fazlasının güvenliğini nasıl alt edebileceğini gösterdi.

Hizmet reddi hatası düzeltildi

Perşembe günü, OpenSSL bakımcıları, kimliği doğrulanmamış bir son kullanıcıdan kötü niyetle oluşturulmuş bir istek aldıklarında sunucuların çökmesine neden olan bir güvenlik açığını açıkladılar ve yamaladılar. CVE-2021-3449, sunucu reddi güvenlik açığı izlendiğinden, boş işaretçi özümleme hatasının sonucudur. Kriptografi mühendisi Filippo Valsorda, Twitter'da kusurun muhtemelen şimdiye kadar keşfedilmiş olabileceğini söyledi.

"Her neyse, bugün İnternet'teki çoğu OpenSSL sunucusunu çökertebilirsin gibi görünüyor," diye ekledi.

Bilgisayar korsanları, bir sunucuya ilk el sıkışması sırasında, son kullanıcı ile sunucu arasında güvenli bir bağlantı kuran kötü amaçla oluşturulmuş bir yeniden müzakere isteği göndererek bu güvenlik açığından yararlanabilir.

Bakımcılar bir danışma belgesinde "OpenSSL TLS sunucusu, bir istemciden kötü amaçla oluşturulmuş bir yeniden müzakere ClientHello mesajı gönderilirse çökebilir" diye yazdı. "Bir TLSv1.2 yeniden pazarlık ClientHello, signature_algorithms uzantısını (ilk ClientHello'da mevcut olduğu yerde) atlarsa, ancak bir imza_algorithms_cert uzantısı içeriyorsa, bir çökmeye ve hizmet reddi saldırısına yol açan bir NULL işaretçi özümlemesi sonuçlanacaktır."

Bakımcılar ciddiyeti yüksek derecelendirdi. Araştırmacılar 17 Mart'ta OpenSSL'deki güvenlik açığını bildirdi. Nokia geliştiricileri Peter Kästle ve Samuel Sapalski düzeltmeyi sağladı.

Sertifika doğrulama atlama

OpenSSL ayrıca, uç durumlarda, uygulamaların tarayıcıya güvenilen bir sertifika yetkilisi tarafından dijital olarak imzalanmayan TLS sertifikalarını algılamasını ve reddetmesini engelleyen ayrı bir güvenlik açığını da giderdi. CVE-2021-3450 olarak izlenen güvenlik açığı, kodda bulunan bir X509_V_FLAG_X509_STRICT bayrağı ile çeşitli parametreler arasındaki etkileşimi içerir.

Perşembe günkü tavsiye şu şekilde açıklandı:

Bir "amaç" yapılandırılmışsa, sertifikanın geçerli bir CA olup olmadığını kontrol etmek için müteakip bir fırsat vardır. Libcrypto'da uygulanan tüm adlandırılmış "amaç" değerleri bu denetimi gerçekleştirir. Bu nedenle, bir amaç belirlendiğinde, katı bayrak kullanılsa bile sertifika zinciri reddedilecektir. Libssl istemcisinde ve sunucu sertifika doğrulama rutinlerinde varsayılan olarak bir amaç belirlenir, ancak bir uygulama tarafından geçersiz kılınabilir veya kaldırılabilir.

Etkilenmesi için, bir uygulamanın X509_V_FLAG_X509_STRICT doğrulama işaretini açıkça ayarlaması ve sertifika doğrulaması için bir amaç belirlememesi veya TLS istemcisi veya sunucu uygulamaları söz konusu olduğunda varsayılan amacı geçersiz kılması gerekir.

OpenSSL 1.1.1h ve daha yeni sürümleri savunmasızdır. OpenSSL 1.0.2 bu sorundan etkilenmez. Akamai araştırmacıları Xiang Ding ve Benjamin Kaduk, sırasıyla hatayı keşfetti ve bildirdi. OpenSSL Software Services ile sözleşme yapan bir yazılım geliştiricisi olan Tomáš Mráz tarafından düzeltildi.

Savunmasız bir OpenSSL sürümü kullanan uygulamalar, mümkün olan en kısa sürede OpenSSL 1.1.1k'ye yükseltmelidir.