اشکال امنیتی GNUTLS، خطر جدی برای توزیع های لینوکس
GnuTLSØŒ نسخه ÛŒ متن باز SSL Ùˆ TLS Ù…ÛŒ باشد Ú©Ù‡ در غالب توزیع های Ù…Øبوب لینوکس از جمله نسخه ÛŒ رومیزی Ùˆ کارگزار٠RedHatØŒ تمام نسخه های دبیان Ùˆ اوبونتو به عنوان یک بسته ÛŒ رمزنگاری به منظور اØراز Ùˆ تایید هویت گواهی نامه های دیجیتال استÙاده شده است. روز گذشته Ù…Øققان امنیتی RedHat آسیب پذیری بسیار خطرناکی را کش٠کردند Ú©Ù‡ طبق آن تمامی وب گاه ها Ùˆ نرم اÙزار هایی Ú©Ù‡ مبتنی بر GnuTLS است را در معرض خطر٠سوء استÙاده از این آسیب پذیری قرار Ù…ÛŒ دهد.
به نظر Ù…ÛŒ رسد Ú©Ù‡ GnuTLS نمی تواند به درستی خطاهایی Ú©Ù‡ ممکن است در طول تایید گواهی نامه های X.509 رخ Ù…ÛŒ دهد را مدیریت کند Ùˆ به صورت اشتباه اØراز Ùˆ تایید هویت گواهی نامه را با موÙقیت گزارش Ù…ÛŒ کند. در گزارش این آسیب پذیری آمده است Ú©Ù‡ Ùرد مهاجم Ù…ÛŒ تواند به این ترتیب یک گواهی نامه را طوری تغییر دهد Ú©Ù‡ GnuTLS با خطا مواجه شود Ùˆ این گواهی نامه را تایید کند.
این آسیب پذیری شباهت وهم آوری به آسیب پذیری دارد Ú©Ù‡ به تازگی توسط اپل در سامانه عامل OSX Ùˆ سامانه عامل تلÙÙ† همراه این شرکت یعنی iOS رÙع شده است.
چنین آسیب پذیری برای سامانه عامل های توزیع دبیان RedHat لینوکس Ú©Ù‡ درصد بزرگی در سهم کارگزار های دنیا دارند، بسیار خطرناک است. یک مهاجم Ù…ÛŒ تواند هر دامنه ای را Ú©Ù‡ بخواهد ثبت کند Ùˆ به همین ترتیب کاری کند Ú©Ù‡ اعتبار کاÙÛŒ برای درخواست کننده داشته باشد.
نزدیک به Û³ÛµÛ° بسته ÛŒ لینوکس از کتاب خانه های رمزنگاری٠GnuTLS استÙاده Ù…ÛŒ کنند Ùˆ علاوه بر توزیع های مهم لینوکس، سایر کتاب خانه های اصلی رایانامه مانند libcrypt Ùˆ libmailutils Ùˆ هم چنین cURL تØت تاثیر این آسیب پذیری خواهند بود.
cURL در سامانه ÛŒ به روزرسانی های بسته های نرم اÙزاری OpenPGP Ùˆ apt-transport-https در خود سامانه ÛŒ به روزرسان(system package updater) استÙاده Ù…ÛŒ شود Ùˆ البته چیزی Ú©Ù‡ Ùهم آن بسیار سخت است وابستگی های پیچیده ÛŒ پایین دستی مانند Ù…Ùسر XML Ùˆ … است.
به طور Ú©Ù„ÛŒ دبیان Ùˆ اوبونتو به دلایل لیسانس OpenSSL از استÙاده از آن اجتناب کرده اند Ùˆ به همین علت کارگزار های وب Apache Ùˆ Nginx در این سامانه ها از GnuTLS استÙاده Ù…ÛŒ کنند.
GnuTLS در توصیه نامه ای این آسیب پذیری را تایید کرده است Ùˆ به کاربران توصیه کرده است Ú©Ù‡ آخرین نسخه ÛŒ GnuTLS یعنی نسخه های 3.2.12 Ùˆ یا 3.1.22 را نصب کنند Ùˆ یا در صورتی Ú©Ù‡ از نسخه ÛŒ 2.12x این مصØول استÙاده Ù…ÛŒ کنند Ùˆ به دلایلی نمی توانند به نسخه ÛŒ جدید تر ارتقاء پیدا کنند، وصله ÛŒ این نسخه را دریاÙت Ùˆ اعمال کنند.
این آسیب پذیری با شناسه ÛŒ CVE-2014-0092 معرÙÛŒ شده است، به کاربران توصیه Ù…ÛŒ شود با بررسی متغیر GNUTLS_VERSION_NUMBER Ùˆ تشخیص نسخه ÛŒ Ùعلی٠GnuTLS مطابق روش های Ú¯Ùته شده اقدام به به روزرسانی این بسته در سامانه عامل های خود داشته باشند.
منبع +
Comment