मैला प्रोग्रामिंग ओपनएसएसएल संकट का कारण बनता है

  • Sep 04, 2023

कभी-कभी सुरक्षा पैच जितनी समस्याएँ हल करते हैं उससे कहीं अधिक बड़ी समस्याएँ पैदा कर देते हैं। ओपनएसएसएल ने बस वह गलती की है।

कब ओपनएसएसएल एक पैच जारी करता है, तो आप आमतौर पर इसे जल्द से जल्द लागू करना चाहते हैं। लेकिन जब ओपनएसएसएल ने कई पैच जारी किए सितंबर को 22, इसमें एक हड्डीवाला भी शामिल है वह गलती जिसके कारण ओपनएसएसएल क्रैश हो सकता है और हैकर्स के लिए सर्वर में सेंध लगाने का अवसर खुल जाता है।

ओपनएसएसएल

जब ओपनएसएसएल अच्छी तरह से काम करता है, तो यह इंटरनेट को सुरक्षित रखता है। जब ऐसा नहीं होता है, तो यह आपके डेटा के भागने के लिए दरवाजे खोल देता है। (छवि: सीएनईटी)

ओपनएसएसएल क्रिप्टोग्राफ़िक लाइब्रेरी का उपयोग कई लोकप्रिय वेबसाइटों में सिक्योर-सॉकेट लेयर (एसएसएल) और ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) प्रदान करने के लिए किया जाता है। इनमें ट्विटर, गिटहब, याहू, टम्बलर, स्टीम और ड्रॉपबॉक्स शामिल हैं।

ओपनएसएसएल का उपयोग केवल वेब साइटों में ही नहीं किया जाता है। ओपनवीपीएन, एक ओपन-सोर्स वर्चुअल प्राइवेट नेटवर्क, और सुरक्षित लॉगिन और टर्मिनल प्रोग्राम के पुराने संस्करण OpenSSH ओपनएसएसएल का भी उपयोग करें।

सुरक्षा

  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें

दूसरे शब्दों में, यदि आप एक सुरक्षित सर्वर चला रहे हैं, तो संभवतः आप ओपनएसएसएल चला रहे हैं।

सितंबर में क्या गलत हुआ? 22 पैच का मतलब मैला प्रोग्रामिंग है। सबसे बड़ी समस्या, जो ओपनएसएसएल 1.1.0ए को प्रभावित करती है, "एक ऐसी समस्या उत्पन्न हुई जहां यदि कोई संदेश इससे बड़ा हो लगभग 16k प्राप्त होता है तो आने वाले संदेश को संग्रहीत करने के लिए अंतर्निहित बफर को पुनः आवंटित किया जाता है ले जाया गया. दुर्भाग्य से पुराने स्थान पर एक लटकता हुआ सूचक छोड़ दिया गया है जिसके परिणामस्वरूप पहले मुक्त किए गए स्थान पर लिखने का प्रयास किया गया है। इसके परिणामस्वरूप दुर्घटना होने की संभावना है, हालाँकि यह संभावित रूप से मनमाने कोड के निष्पादन का कारण बन सकता है"।

यदि आप ओपनएसएसएल का उपयोग करते हैं, तो आपको तुरंत 1.1.0बी पर अपडेट करना चाहिए

नए OpenSSL 1.0.2i में भी एक नई समस्या थी, हालाँकि उतनी गंभीर नहीं थी। इसमें ए सी क्षेत्र पुस्तकालय (सीआरएल) ओपनएसएसएल 1.1.0 ट्री में विवेक जांच जोड़ी गई थी। अब तक तो सब ठीक है। लेकिन इसे OpenSSL 1.0.2i में नहीं जोड़ा गया था. परिणामस्वरूप, OpenSSL 1.0.2i में CRLs का उपयोग करने का कोई भी प्रयास एक शून्य सूचक अपवाद के साथ क्रैश हो जाएगा।

इसलिए, यदि आप OpenSSL 1.0.2i का उपयोग कर रहे हैं, तो आपको 1.0.2j पर अपग्रेड करना चाहिए। अब।

ओपनएसएसएल के साथ, आपको हमेशा जल्दी से पैच करने की आवश्यकता होती है। संभावना है कि आपके सर्वर में वह सब कुछ है जिसके लिए सुरक्षा की आवश्यकता ओपनएसएसएल पर निर्भर करती है - और आप अपने दरवाजे खुले नहीं छोड़ सकते।

जैसा कि कहा गया है, ओपनएसएसएल प्रोग्रामर्स को गुणवत्ता आश्वासन कार्य को नंबर 1 बनाने की आवश्यकता है। हर कोई गलतियाँ करता है, लेकिन इन सबसे हालिया पैच की सरासर लापरवाही - लटकते संकेत! अशक्त सूचक! -- मुझे लगता है कि अब ओपनएसएसएल प्रतिस्थापनों की तलाश करने का समय आ गया है।

विचार करने लायक ओपनएसएसएल विकल्प हैं अमेज़न का s2n, लिबरएसएसएल, और वोल्फएसएसएल. ओपनएसएसएल के हालिया ट्रैक रिकॉर्ड को देखते हुए सुरक्षित इंटरनेट को ओपनएसएसएल पर छोड़ना बहुत महत्वपूर्ण है।

संबंधित कहानियां:

  • दो बेहद खतरनाक ओपनएसएसएल सुरक्षा बग को ठीक कर दिया गया है
  • महत्वपूर्ण ओपनएसएसएल पैच आ रहा है
  • लाखों ओपनएसएसएल सुरक्षित वेबसाइटों पर नए DROWN हमले का खतरा है