Potansiyel olarak yüksek etkili OpenSSL hatası için bugün hazırlanın

Güvenlik topluluğu, OpenSSL açık kaynak şifreleme kitaplığındaki, 1 Kasım Salı günü öğleden sonra yamalanacak, ancak henüz daha fazla ayrıntı verilmeyen, görünüşte kritik bir güvenlik açığı üzerinde duruyor.

İnternetteki şifrelemenin çoğunluğunun temelini oluşturan OpenSSL projesinin arkasındaki ekip – 25 Ekim Salı günü yayınlanan bir tavsiyede, yaklaşmakta olan yamayı 3.0.7 sürümüne kadar takip etti. “OpenSSL 3.0.7 bir güvenlik düzeltmesi sürümüdür. Ekip, bu sürümde düzeltilen en yüksek önemdeki sorun kritik önemde” dedi.

OpenSSL’deki herhangi bir güvenlik açığının yamalanması dikkate değer bir andır – bu tür son sürüm 2016’da gerçekleşti. Ayrıca, bu, projenin CVE-2014-0160 sonrasında bu tür şeyleri izlemeye başlamasından bu yana bileşende bulunan ilk kritik güvenlik açığıdır. daha yaygın olarak Heartbleed olarak bilinir.

Heartbleed, bir saldırganın OpenSSL’nin savunmasız sürümlerini kullanan sistemlerin belleğindeki şifrelenmemiş verilere tekrar tekrar erişmesine izin verebilecek bir kodlama kusurudur ve Nisan 2014’te halka açıklandığında sektörü temellerinden sarstı.

Birçoğu için, OpenSSL’deki yeni bir kritik güvenlik açığının keşfi, Heartbleed’in hoş olmayan anılarını doğal olarak gündeme getiriyor. Diğerleri için, OpenSSL’nin internette yaygın olarak kullanılması, şimdiye kadar keşfedilen en etkili açık kaynak hatalarından biri olan ve sonuçları ilk ortaya çıktıktan yaklaşık 12 ay sonra hala hissedilen Log4Shell ile karşılaştırmalara neden oluyor.

Ancak bu yeni kusur henüz bunlardan herhangi birinden daha şiddetli veya muhtemelen daha fazla olduğunu kanıtlamasa da, Venafi’de konteyner ürün lideri Mattias Gees’in açıkladığı gibi: “Heartbleed, dünya çapındaki tüm operasyon ekipleri üzerinde önemli bir etkiye sahipti, [but] o zamandan beri BT altyapısı 10 kat daha karmaşık hale geldi.

Heartbleed keşfedildiğinde, BT kuruluşlarının çoğu özel donanım veya sanal makineler kullanıyordu. [VMs]. Ancak şimdi, gelişmiş kapsayıcılar ve sunucusuz mimariler yaratan bulutta yerel bir çağdayız,” dedi Gees.

“Saldırı vektörü çok daha büyük hale geldi ve kuruluşların yalnızca sanal makinelerini incelemek yerine bu duyuruya yanıt olarak tüm kapsayıcı görüntülerini düzeltmeye hazırlanmaya başlamaları gerekiyor.”

Ancak, Log4Shell’in birçok güvenlik ekibini açık kaynak bağımlılıklarını denetlemesi için tetiklemiş olabileceği ve potansiyel olarak onları köşeden gelmek üzere olan her şeyle başa çıkabilmeleri için daha iyi bir konuma yerleştirmiş olabileceği konusunda bazı iyi haberler olduğunu da ekledi.

Bunu yaptılarsa, Gees şunları söyledi: “Bu adımlar, ekiplerin altyapılarında hedeflenen bir düzeltmeyi hızlı bir şekilde sunmasına yardımcı olacak. Yazılım Malzeme Listesi [SBOMs] uygulamalarınızdaki ve altyapınızdaki bağımlılıklara ilişkin bu öngörüleri elde etmek için harika bir başlangıçtır.”

OpenSSL ekibinin güvenlik ekiplerine önceden uyarı vermiş olması da biraz sıra dışı bir adımdır, ancak insanlara güverteleri önceden temizlemeleri ve bunun tarafından kör edilmemelerini sağlamaları için zaman verdikleri için küçük bir merhamet olabilir.

Qualys’in baş teknik güvenlik sorumlusu Paul Baird, OpenSSL’nin kritik bir güncellemeyi ortak yapılandırmaları etkileyen ve sunucu belleği içeriğinin önemli ölçüde ifşa edilmesine ve kullanıcı ayrıntılarını ortaya çıkarmasına izin verecek şekilde istismar edilebilir olması muhtemel bir güncelleme olarak tanımladığını söyledi; sunucu özel anahtarlarından ödün vermek için uzaktan kolayca kullanılabilir; veya uzaktan kod yürütülmesine (RCE) neden olabilir.

“Bu nedenle, OpenSSL’nin güncellenmiş sürümlerinin piyasaya sürülmesinden hemen sonra herkesin hemen düzeltmesi gereken bir sorun olacak. Planlama ve önceliklendirme açısından, pek çok güvenlik uzmanının önümüzdeki hafta zamanını buna harcayacağı şey bu olacak” dedi Baird.

“Buradaki en iyi uygulamalar, tüm OpenSSL uygulamalarınızı, hangi sürümlerde olduklarını bilmek ve güncelleme planlarınızı buna göre önceliklendirmek olacaktır. Böyle bir şeyle, önceden uyarılmış olmak, herhangi bir konunun ayrıntılarına ve hem güvenlik profesyonellerinden hem de kötü aktörlerden gelen herhangi bir kavram kodu açıklaması kanıtına çok fazla ilgi olmasını beklerdim.

Bilinen şey, gelen güvenlik açığının yalnızca OpenSSL’nin 3.0.x sürümlerini etkilediği, bu da 1.1.1 sürümlerini çalıştıran herkesin güvende olması gerektiği ve güvenlik ekiplerinin altyapılarının bazı bölümlerini hemen kapatmasına olanak sağlayacağı anlamına geliyor. Bu etkiyi biraz azaltabilir.

Sysdig tehdit araştırması direktörü Michael Clark ve ekibi, varsayılan olarak OpenSSL’ye sahip olup olmadıklarını ve eğer yoksa hangi sürümü alacağınızı öğrenmek için RHEL, Alpine ve Debian dahil olmak üzere en yaygın konteyner tabanı görüntülerinden bazılarını araştırdı. Paket yöneticisinden OpenSSL’ye gittiniz ve kurdunuz.

Nginx ve MySQL gibi diğerleri hala 1.1.1’deyken, ne RHEL/ubi8, Alpine veya Debian’ın varsayılan olarak OpenSSL’yi ne de Ubuntu’yu içerdiğini buldular. Node.js 3.0.5’te olmasıyla öne çıkıyor.

“İyi haber, işletim sistemi kapsayıcı görüntülerinin varsayılan olarak OpenSSL’nin kurulu olma eğiliminde olmamasıdır. Kapsayıcı görüntülerini mümkün olduğu kadar az tutmak iyi bir biçim olduğu için şaşırtıcı değil. Varsayılan paket yöneticisi kurulumlarının çoğu ayrıca OpenSSL 3.0.x kullanmaz,” dedi Clark.

“Uygulama görüntülerinin bir OpenSSL sürümünün kurulu olması çok daha olasıdır. Ayrıca uygulamalar ve OpenSSL sürümleriyle ilgili çok sayıda sürüm kayması var.”

Armis’te ürün ve endüstri çözümlerinden sorumlu başkan yardımcısı Chris Dobrec, OpenSSL’nin hangi OpenSSL sürümünün çalıştığını bulmak için sorgulanabilecek bir komut satırı yardımcı programı sağladığını ekledi, ancak standart dışı aramanın hala önemli olduğunu kaydetti. başka yerlerde kullanımda olabilecek tesisler.

Read Previous

Gartner, küresel kamu bulut harcamalarına yönelik ‘enflasyonist baskı’ riski konusunda uyardı

Read Next

İskoçya 5G Merkezi, Ayrshire’daki 5G İnovasyon Merkezini resmen başlattı

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -