OpenSSL’de Kritik DoS Açığı!

OpenSSL Foundation şifrelenmiş kod kütüphanesinde bulunan bir düzineden fazla açığı kapatmak için harekete geçti. Bu açıklar arasında oldukça tehlikeli bir açık olan DoS ataklarına karşı savunmasız bırakan açıkta bulunuyor.

OpenSSL yaygın olarak kullanılan açık kaynaklı şifrelenmiş bir kütüphane. OpenSSL kullanıcılarına Secure Sockets Layer (SSL) kullanarak şifrelenmiş internet bağlantıları sağlıyor veya web sitelerinin çoğuna Transport Layer Security (TLS) ve başka güvenlik hizmetleri de sunuyor.

Bahsi geçen güvenlik açıkları OpenSSL’in 1.0.1, 1.0.2 ve 1.1.0 sürümlerinde bulunuyor. Bu açıklar 1.1.0a, 1.0.2i ve 1.0.1u sürümleri ile yamalandı.

Kritik olarak belirlenen (CVE-2016-6304) açığı, hedeflenen sunucuya büyük bir OCSP durum talebi yollanarak kullanılıyor. OpenSSL Project’in yaptığı açıklamaya göre bu yöntem bir DoS saldırısı gerçekleştirebilmek için belleği tüketiyor.

OCSP Protokolü Nedir?

OCSP (Online Certificate Status Protocol) bütün modern web tarayıcılar tarafından desteklenen bir protokol. OCSP, X.509 standartlarına uygun olarak üretilmiş sertifikaların, iptal durumda olup olmadığını Sertifika İptal Listeleri (CRL-Certificate Revocation List)'ne bakmadan "anlık" sorgulanabilmesini sağlayan bir iletişim protokolüdür.

OCSP istemci ve sunucu bileşenlerine ayrılır. Bir web tarayıcı veya uygulama SSL sertifikası doğrulama girişiminde bulunduğunda, istemci bileşeni http protokolü üzerinden çevrimiçi yanıtlayıcıya bir istek gönderir. Geri dönüş olarak sertifikanın geçerli olup olmadığını verir.

Çinli bir güvenlik firması olan Qihoo 360 araştırmacısı olan Shi Lei, bahsi geçen açığın OCSP desteklememesine rağmen varsayılan yapılandırmalarındaki sunucuları etkilediğini söyledi.

OpenSSL DoS Saldırısı Nasıl Engellenir?

Yöneticiler ‘no-ocsp’ çalıştırarak gelebilecek zararı azaltabilirler. Ayrıca OpenSSL’in 1.0.1g’den önceki sürümlerin varsayılan yapılandırmaları bu açığa karşı savunmasız değil.

(CVE-2016-6305) kodlu bir diğer kritik açık ise denial of service saldırıları başlatmak için kullanılabiliyor. Bu açık bir aydan daha kısa süre önce yayımlanan OpenSSL 1.1.0 sürümünü etkiliyordu, yayımlanan yama ile kapatıldı.

Güvenlik elemanları, OpenSSL’in son çıkan sürümlerinde bulunan 12 düşük seviye başka açıkları da kapattı. Bu açıkların birçoğu 1.1.0 sürümlerini etkilemiyor.

OpenSSL’in 1.0.1 sürümünü desteklemeyi 31 Aralık 2016’da bırakacağını bildirmekte fayda var. Bu demek oluyor ki, 1.0.1 sürümünü kullanan kullanıcılar 2017’nin başından itibaren hiçbir güvenlik güncellemesi almayacaklar. Dolayısıyla kullanıcıların kullandıkları sürümü yükseltmeleri güvenlik açıklarına maruz kalmamak için tavsiye ediliyor.

Kaynak: thehackernews.com