آسیب‌پذیری با شدت بالای موجود در OpenSSL امکان راه‌اندازی حملات منع سرویس را فراهم می‌کند

یک به‌روزرسانی منتشرشده برای پروتکل OpenSSL، آسیب‌پذیری با شدت بالایی را که می‌تواند برای راه‌اندازی حملات منع سرویس (DoS) مورد بهره‌برداری قرار بگیرد، وصله می‌کند. این آسیب‌پذیری که با شناسه‌ی CVE-2020-1967 ردیابی می‌شود، به‌عنوان یک خطای تقسیم‌بندی در تابع SSL_check_chain توصیف شده است.

در مشاوره‌نامه‌ی این آسیب‌پذیری آمده است، برنامه‌های سرور یا کلاینتی که تابع ()SSL_check_chain را در حین یا بعد از دست‌تکانی TLS 1.3 فراخوانی می‌کنند، ممکن است به‌دلیل عدم دستیابی به اشاره‌گر NULL در نتیجه‌ی بررسی نادرست افزونه‌ی  signature_algorithms_cert در TLS، آسیب ببینند.

این اتفاق درصورتی رخ می‌دهد که یک الگوریتم امضای نامعتبر یا ناشناخته از طرف نظیر دریافت شود. این موضوع می‌تواند توسط یک نظیر مخرب در حمله‌ی منع سرویس مورد بهره‌برداری قرار بگیرد.

طبق گزارش‌ها، این آسیب‌پذیری نسخه‌های ۱٫۱٫۱d، ۱٫۱٫۱e و ۱٫۱٫۱f پروتکل OpenSSL را تحت تأثیر قرار داده و با انتشار نسخه‌ی ۱٫۱٫۱g وصله شده است. نسخه‌های قدیمی‌تر ۱٫۰٫۲ و ۱٫۱٫۰ که دیگر به‌روزرسانی امنیتی دریافت نمی‌کنند، تحت تأثیر این نقص قرار ندارند. این حفره‌ی امنیتی که توسط آنالایزر کد استاتیک GCC کشف شده، اولین آسیب‌پذیری است که در سال ۲۰۲۰ میلادی برای پروتکل OpenSSL به ثبت رسیده است. همان‌طورکه پیش از این گزارش شد، امنیت OpenSSL از زمان افشای آسیب‌پذیری Heartbleed در سال ۲۰۱۴ میلادی، پیشرفت زیادی کرده است.

منبع

پست‌های مشابه

Leave a Comment