رفع یک آسیبپذیری با شدت بالا در OPENSSL
OpenSSL Project یک بهروزرسانی امنیتی جهت وصلهی یک آسیبپذیری با شدت «بالا» منتشر ساخته است. این نقص که در تاریخ 7 آوریل سال 2020 به OpenSSL گزارش شده است، به عنوان یک «اشکال تقسیمبندی» در تابع SSL-check-chain توصیف شده است و با شناسهی CVE-2020-1967 ردیابی میشود. سوءاستفاده از این نقص میتواند منجر به حملات انکار سرویس (DoS) گردد. برنامههای کارگزار یا سرویسگیرنده که تابع SSL-check-chain را در حین یا پس از دستدادن TLS 1.3 فراخوانی میکنند، ممکن است به دلیل یک ارجاع اشارهگر Null ناشی از دستدادن نادرست افزونهی TLS “signature-algorithms-cert”، سقوط کنند. به عبارتی، این سقوط در صورتی اتفاق میافتد که الگوریتم امضای (signature) نامعتبر یا ناشناختهای از همتا دریافت شود. این امر میتواند توسط همتای مخربی در یک حملهی انکار سرویس، مورد سوءاستفاده قرار گیرد. نسخههای 1.1.1d، 1.1.1e و 1.1.1f از OpenSSL تحتتأثیر این آسیبپذیری قرار گرفتهاند و در نسخهی 1.1.1g وصله شده است. به گفتهی OpenSSL Project، نسخههای قدیمیتر 1.0.2 و 1.1.0، تحتتأثیر این آسیبپذیری قرار نگرفتهاند. این نقص، اولین نقصی است که در سال 2020 توسط OpenSSL برطرف شده است و لازم است مدیران و کاربران توصیهنامهی امنیتی OpenSSL را مطالعه کرده و بهروزرسانیهای لازم را اتخاذ نمایند.