بنا بر گزارش منتشر شده در وبسایت رسمی OpenSSL، آسیبپذیری امنیتی با شناسه CVE-2022-1292 در اسکریپت c_rehash مورد استفاده در OpenSSL کشف شده است. شدت این آسیبپذیری ۹.۸ و درجه خطر آن Critical (بحرانی) است.
در این اسکریپت، متاکاراکترهای شل بهدرستی پاکسازی نمیگردد. متاکاراکترها، کاراکترهایی هستند که برای اهداف مختلف در شل استفاده میگردند. بنابراین میتوان حمله تزریق دستور (Command injection) انجام داد. تزریق دستور به حملهای گفته میشود که هدف آن اجرای دستورات دلخواه بر روی سیستمعامل میزبان از طریق یک برنامه آسیبپذیر است. این حملات زمانی امکانپذیر است که یک برنامه، دادههای ناامن ارائهشده توسط کاربر را به شل سیستم ارسال کند. این اسکریپت در بعضی از سیستمعاملها بهگونهای است که میتواند بهصورت خودکار اجرا شود. در چنین سیستمعاملهایی مهاجم میتواند دستورات دلخواه خود را با داشتن دسترسی اجرا نماید.
این آسیبپذیری نسخههای ۱.۰.۲ ، ۱.۱.۱ و ۳.۰ را تحت تأثیر خود قرار میدهد. استفاده از اسکریپت c_rehash منسوخ تلقی میشود و باید با ابزار خط فرمان OpenSSL rehash جایگزین شود.
کاربران باید OpenSSL خود را به نسخههای ۱.۰.۲ze ، ۱.۱.۱o و ۳.۰.۳ بهروزرسانی کنند.
منابع:
https://www.openssl.org/news/secadv/20220503.txt
https://www.debian.org/security/2022/dsa-5139
- 81