bencede
New member
OpenSSL kütüphanesindeki güvenlik kusurları genellikle İnternet'in tamamını etkiler. Son olarak, bir dizi şifreleme işlevi, birçok uygulama için HTTPS gibi protokollerin temelini oluşturur. Projenin, kod yürütülmesine izin verebilecek bir güvenlik açığına yönelik herhangi bir yama yayınlamaması endişe vericidir. Aslında geliştiricilerin haklı nedenleri var; diğer güvenlik ekiplerinin uyarıları resmi nedenlerden dolayı daha alarm verici.
Duyuru
OpenSSL geliştirme ekibinin yakın zamanda çeşitli e-posta listelerinde yer alan güvenlik tavsiyeleri rutin bir sorun gibi görünüyor. Özel bir eliptik eğri grubuyla şifreleme sırasında belirli parametrelerin seçilmesiyle, ana bellekteki yasa dışı okuma ve yazma işlemlerinin çökmelere neden olabileceği bir senaryo ortaya çıkabilir. OpenSSL geliştiricileri, kötü amaçlı kodların yürütülmesini hariç tutamaz.
CVE ID CVE-2024-9143'e sahip güvenlik açığını düşük riskli olarak değerlendirdiler çünkü kusurdan yararlanılması zordu. Yalnızca egzotik eliptik eğri parametreleri gerektiren uygulamalar (GF(2)M)) kullanıcı girdilerinden kaynaklanan saldırılar teorik olarak savunmasızdır: OpenSSL ekibi bu nedenle güvenlik açığı için acil durum yamaları yayınlamaktan kaçındı. OpenSSL 3.3, 3.2, 3.1., 3.0, 1.1.1 ve 1.0.2 sürümlerinden oluşur ve yayınlanmamış 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb ve 1.1.1zb sürümlerinde mevcut olması beklenmektedir. 1.0.2zl düzeltilecek.
Yüksek risk mi, düşük risk mi yoksa ne?!
Ancak hem Linux distribütörü SuSE hem de Federal Bilgi Güvenliği Dairesi'ndeki (BSI) federal yetkililerin Bilgisayar Acil Durum Müdahale Ekibi (CERT-Bund), riskleri farklı şekilde değerlendirdi: SuSE, CVSS değerini 7 olarak atadı (risk: yüksek), CERT-Bund bile 10 üzerinden 8,1 puan aldı. Tutarsızlık sorulduğunda SuSE güvenlik ekibinden Johannes Segitz, Haberler Security'ye CVSS ölçeğinin bir saldırı olasılığını belirlemede zorluk yaşadığını söyledi. Her zaman en yüksek nokta değerini açıklayan en kötü senaryoyu varsayar.
Ayrıca sorgulanan OpenSSL geliştirme ekibinden Tomas Mraz da benzer bir açıklama yaptı: Güvenlik kusurunun etkileri ciddi olsa da, bir uygulamanın savunmasız olması son derece düşük bir ihtimal. OpenSSL projesi tek bir savunmasız programın farkında değil. Risk değerlendirmesi şu şekilde gerçekleşir: CVSS sistemi bu hususları yansıtamaz.
CERT-Bund henüz risk değerlendirmesi hakkında yorumda bulunmadı ancak BSI analistlerinin, etkilenen uygulamaların gizliliği ve bütünlüğü üzerinde SuSE meslektaşlarından daha büyük bir etkiye sahip olduklarını varsaydıkları varsayılabilir.
(cku)
Duyuru
OpenSSL geliştirme ekibinin yakın zamanda çeşitli e-posta listelerinde yer alan güvenlik tavsiyeleri rutin bir sorun gibi görünüyor. Özel bir eliptik eğri grubuyla şifreleme sırasında belirli parametrelerin seçilmesiyle, ana bellekteki yasa dışı okuma ve yazma işlemlerinin çökmelere neden olabileceği bir senaryo ortaya çıkabilir. OpenSSL geliştiricileri, kötü amaçlı kodların yürütülmesini hariç tutamaz.
CVE ID CVE-2024-9143'e sahip güvenlik açığını düşük riskli olarak değerlendirdiler çünkü kusurdan yararlanılması zordu. Yalnızca egzotik eliptik eğri parametreleri gerektiren uygulamalar (GF(2)M)) kullanıcı girdilerinden kaynaklanan saldırılar teorik olarak savunmasızdır: OpenSSL ekibi bu nedenle güvenlik açığı için acil durum yamaları yayınlamaktan kaçındı. OpenSSL 3.3, 3.2, 3.1., 3.0, 1.1.1 ve 1.0.2 sürümlerinden oluşur ve yayınlanmamış 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb ve 1.1.1zb sürümlerinde mevcut olması beklenmektedir. 1.0.2zl düzeltilecek.
Yüksek risk mi, düşük risk mi yoksa ne?!
Ancak hem Linux distribütörü SuSE hem de Federal Bilgi Güvenliği Dairesi'ndeki (BSI) federal yetkililerin Bilgisayar Acil Durum Müdahale Ekibi (CERT-Bund), riskleri farklı şekilde değerlendirdi: SuSE, CVSS değerini 7 olarak atadı (risk: yüksek), CERT-Bund bile 10 üzerinden 8,1 puan aldı. Tutarsızlık sorulduğunda SuSE güvenlik ekibinden Johannes Segitz, Haberler Security'ye CVSS ölçeğinin bir saldırı olasılığını belirlemede zorluk yaşadığını söyledi. Her zaman en yüksek nokta değerini açıklayan en kötü senaryoyu varsayar.
Ayrıca sorgulanan OpenSSL geliştirme ekibinden Tomas Mraz da benzer bir açıklama yaptı: Güvenlik kusurunun etkileri ciddi olsa da, bir uygulamanın savunmasız olması son derece düşük bir ihtimal. OpenSSL projesi tek bir savunmasız programın farkında değil. Risk değerlendirmesi şu şekilde gerçekleşir: CVSS sistemi bu hususları yansıtamaz.
CERT-Bund henüz risk değerlendirmesi hakkında yorumda bulunmadı ancak BSI analistlerinin, etkilenen uygulamaların gizliliği ve bütünlüğü üzerinde SuSE meslektaşlarından daha büyük bir etkiye sahip olduklarını varsaydıkları varsayılabilir.
(cku)