کتابخانهی رمزنگاری wolfSSL که پیشتر با نام CyaSSL شناخته میشد، یک کتابخانه سبک SSL/TLS است که به زبان ANSI C نوشته شده و برای محیطهای تعبیهشده، سیستمعاملهای بلادرنگ و محیطهای دارای منابع محدود طراحی شده است. این کتابخانه به دلیل پشتیبانی عالی از پلتفرمهای مختلف، در محیطهای استاندارد نیز بهطور گسترده مورد استفاده قرار میگیرد.
wolfSSL از استانداردهای صنعتی تا نسخههای فعلی TLS 1.3 و DTLS 1.3 پشتیبانی میکند و رمزنگارهای پیشرفتهای مانند ChaCha20 ،Curve25519 ،Blake2b و گروههای TLS 1.3 پساکوانتومی را ارائه میدهد.
یک آسیبپذیری در فرایند اعتبارسنجی گواهی در کتابخانه wolfSSL زمانی رخ میدهد که این کتابخانه با گزینههای WOLFSSL_SYS_CA_CERTS و WOLFSSL_APPLE_NATIVE_CERT_VALIDATION کامپایل شده باشد.
در این حالت، روال اعتبارسنجی سیستمعامل اپل، خطاهای ایجادشده در فرایند تأیید گواهی مانند عدم تطابق نام دامنه و سایر خطاهای زنجیره گواهی را نادیده میگیرد.
در نتیجه، هر گواهی که توسط یک مرجع معتبر (CA) صادر شده باشد و در Trust Store سیستم وجود داشته باشد، بدون توجه به خطاهای امنیتی دیگر، معتبر شناخته میشود و اتصال TLS بهطور نادرست برقرار میماند. این نقص میتواند منجر به پذیرش گواهیهای جعلی و ایجاد خطرات جدی امنیتی شود.
محصولات آسیبپذیر
- نسخههای 5.7.6 تا 5.8.2
توصیههای امنیتی
به کاربران توصیه میشود برای رفع آسیبپذیری، این کتابخانه را به آخرین نسخه بهروزرسانی نمایند.
منابع خبر:
- 12