مهم این که همه استفاده کنندگان از هر سیستم عاملی به OpenSSL وابسته هستند. OpenSSL امکان تبادل امن لایه امنیتی (TLS) را در لینوکس، Unix، ویندوز و بسیاری از سیستم عاملها فراهم می کند. همچنین برای lock کردن و ارتباطات امن اپلیکیشن های شبکه و دستگاهها استفاده می شود.
در واقع این یک نگرانی و تهدید عمومی است، طبق اعلام Mark Cox یکی از مهندسین Apache ، به روز رسانی OpenSSL 3.0.7 جهت رفع آسیب پذیری حیاتی سه شنبه این هفته منتشر می شود.
این آسیب پذیری “حیاتی” در OpenSSL میتواند روی تنظیمات و پیکربندی های معمول تاثیر گذاشته و قابل سواستفاده و بهره برداری است.
آسیب پذیری بحرانی مذکور میتواند مورد سواستفاده قرار گرفته و محتوای حافظه سرور و به صورت بالقوه جزییات اطلاعات کاربر را افشا کند. همچنین می تواند به راحتی از راه دور مورد بهره برداری قرار گرفته و private key های سرور در معرض خطر قرار بگیرد یا کدهای مخرب از راه دور اجرا شود. به عبارت دیگر هر چه که دوست ندارید بر روی سیستم های شما اتفاق بیفتد، امکان پذیر می شود.
آخرین باری که OpenSSL با مشکلی شبیه به این در بحث امنیتی خود روبرو شد سال 2016 بوده است. آسیب پذیری قبلی می توانست برای کرش سیستم ها استفاده شود. در همان سال طبق تخمین شرکت امنیتی Check Point حدود 42% از سازمانها تحت تاثیر این آسیب پذیری قرار گرفته بودند.
اما آسیب پذیری فعلی می تواند به مراتب بدتر باشد.
این حفره امنیتی جدید، تنها روی نسخه های 3.0.0 تا 3.0.6 OpenSSL وجود دارد و دستگاهها و سیستم عامل های قدیمی تر احتمالا به مشکلی برنخواهند خورد.
برای مثال Red Hat Enterprise Linux (RHEL) 8.x and earlier and Ubuntu 20.04 از این آسیب پذیری ضربه ای نخورده است، اما RHEL 9.x و Ubuntu 22.04 داستان متفاوتی دارند چون از OpenSSL 3.x استفاده می کنند.
اگر کاربر لینوکس هستید می توانید سیستم خود را با اجرای دستور زیر بررسی نمایید :
# openssl version
اما اگر از هر سیستم عامل دیگری با OpenSSL 3.x استفاده می کنید آماده پچی که روز سه شنبه منتشر خواهد شد، باشید چون حفره امنیتی خطرناکی است و احتمالا به زودی مورد بهره برداری قرار خواهد گرفت.
منبع:
https://www.zdnet.com/