اطلاعیه

Collapse
No announcement yet.

اشکال امنیتی gnutls، خطر جدی برای توزیع های لینوکس

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • اشکال امنیتی gnutlsØŒ خطر جدی برای توزیع های لینوکس




    اشکال امنیتی GNUTLS، خطر جدی برای توزیع های لینوکس


    GnuTLS، نسخه ی متن باز SSL و TLS می باشد که در غالب توزیع های محبوب لینوکس از جمله نسخه ی رومیزی و کارگزارِ RedHat، تمام نسخه های دبیان و اوبونتو به عنوان یک بسته ی رمزنگاری به منظور احراز و تایید هویت گواهی نامه های دیجیتال استفاده شده است. روز گذشته محققان امنیتی RedHat آسیب پذیری بسیار خطرناکی را کشف کردند که طبق آن تمامی وب گاه ها و نرم افزار هایی که مبتنی بر GnuTLS است را در معرض خطرِ سوء استفاده از این آسیب پذیری قرار می دهد.


    به نظر می رسد که GnuTLS نمی تواند به درستی خطاهایی که ممکن است در طول تایید گواهی نامه های X.509 رخ می دهد را مدیریت کند و به صورت اشتباه احراز و تایید هویت گواهی نامه را با موفقیت گزارش می کند. در گزارش این آسیب پذیری آمده است که فرد مهاجم می تواند به این ترتیب یک گواهی نامه را طوری تغییر دهد که GnuTLS با خطا مواجه شود و این گواهی نامه را تایید کند.

    این آسیب پذیری شباهت وهم آوری به آسیب پذیری دارد که به تازگی توسط اپل در سامانه عامل OSX و سامانه عامل تلفن همراه این شرکت یعنی iOS رفع شده است.

    چنین آسیب پذیری برای سامانه عامل های توزیع دبیان RedHat لینوکس که درصد بزرگی در سهم کارگزار های دنیا دارند، بسیار خطرناک است. یک مهاجم می تواند هر دامنه ای را که بخواهد ثبت کند و به همین ترتیب کاری کند که اعتبار کافی برای درخواست کننده داشته باشد.

    نزدیک به ۳۵۰ بسته ی لینوکس از کتاب خانه های رمزنگاریِ GnuTLS استفاده می کنند و علاوه بر توزیع های مهم لینوکس، سایر کتاب خانه های اصلی رایانامه مانند libcrypt و libmailutils و هم چنین cURL تحت تاثیر این آسیب پذیری خواهند بود.

    cURL در سامانه ی به روزرسانی های بسته های نرم افزاری OpenPGP و apt-transport-https در خود سامانه ی به روزرسان(system package updater) استفاده می شود و البته چیزی که فهم آن بسیار سخت است وابستگی های پیچیده ی پایین دستی مانند مفسر XML و … است.

    به طور کلی دبیان و اوبونتو به دلایل لیسانس OpenSSL از استفاده از آن اجتناب کرده اند و به همین علت کارگزار های وب Apache و Nginx در این سامانه ها از GnuTLS استفاده می کنند.

    GnuTLS در توصیه نامه ای این آسیب پذیری را تایید کرده است و به کاربران توصیه کرده است که آخرین نسخه ی GnuTLS یعنی نسخه های 3.2.12 و یا 3.1.22 را نصب کنند و یا در صورتی که از نسخه ی 2.12x این مصحول استفاده می کنند و به دلایلی نمی توانند به نسخه ی جدید تر ارتقاء پیدا کنند، وصله ی این نسخه را دریافت و اعمال کنند.

    این آسیب پذیری با شناسه ی CVE-2014-0092 معرفی شده است، به کاربران توصیه می شود با بررسی متغیر GNUTLS_VERSION_NUMBER و تشخیص نسخه ی فعلیِ GnuTLS مطابق روش های گفته شده اقدام به به روزرسانی این بسته در سامانه عامل های خود داشته باشند.


    منبع +

  • #2
    http://www.gnutls.org/security.html#GNUTLS-SA-2014-2
    این نام کاربری متعلق به آقای حسین عسگری نیست .
    جهت یادآوری : هیچ موقع دست از انتقاد سازنده (نه مخرب) به عنوان یک متخصص دست برندارید چراکه همه ی ما نسبت به کشورمون مسئولیم ، نباید اجازه داده بشه یه سری افراد بنام کارهای مفید برای کشور،سرمایه های کشور رو بالا بکشن ، از جمله میلیارد ها میلیارد پول که به افرادی داده میشه که لیاقت و شایستگی تولید نرم افزار یا کارهای امنیتی ندارن وعملا به باد میره .

    Comment

    Working...
    X