رفع یک آسیب‌پذیری با شدت بالا در OPENSSL

رفع یک آسیب‌پذیری با شدت بالا در OPENSSL

OpenSSL Project یک به‌روزرسانی امنیتی جهت وصله‌ی یک آسیب‌پذیری با شدت «بالا» منتشر ساخته است. این نقص که در تاریخ 7 آوریل سال 2020 به OpenSSL گزارش شده است، به عنوان یک «اشکال تقسیم‌بندی» در تابع SSL-check-chain توصیف شده است و با شناسه‌ی CVE-2020-1967 ردیابی می‌شود. سوءاستفاده از این نقص می‌تواند منجر به حملات انکار سرویس (DoS) گردد. برنامه‌های کارگزار یا سرویس‌گیرنده که تابع SSL-check-chain را در حین یا پس از دست‌دادن TLS 1.3 فراخوانی می‌کنند، ممکن است به دلیل یک ارجاع اشاره‌گر Null ناشی از دست‌دادن نادرست افزونه‌ی TLS “signature-algorithms-cert”، سقوط کنند. به عبارتی، این سقوط در صورتی اتفاق می‌افتد که الگوریتم امضای (signature) نامعتبر یا ناشناخته‌ای از همتا دریافت شود. این امر می‌تواند توسط همتای مخربی در یک حمله‌ی انکار سرویس، مورد سوءاستفاده قرار گیرد. نسخه‌های 1.1.1d، 1.1.1e و 1.1.1f از OpenSSL تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و در نسخه‌ی 1.1.1g وصله شده است. به گفته‌ی OpenSSL Project، نسخه‌های قدیمی‌تر 1.0.2 و 1.1.0، تحت‌تأثیر این آسیب‌‌پذیری قرار نگرفته‌اند. این نقص، اولین نقصی است که در سال 2020 توسط OpenSSL برطرف شده است و لازم است مدیران و کاربران توصیه‌نامه‌ی امنیتی OpenSSL را مطالعه کرده و به‌روزرسانی‌های لازم را اتخاذ نمایند.