کشف آسیب‌پذیری در پیکربندی‌های غیرپیش فرض سرور TLS

کشف آسیب‌پذیری در پیکربندی‌های غیرپیش فرض سرور TLS

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-2511 در پیکربندی‌های غیر پیش فرض سرور TLS کشف شده است که می‌تواند منجر به رشد نامحدود حافظه در هنگام پردازش session (نشست)  TLSv1.3 شود و مهاجم ممکن است از پیکربندی‌های سرور خاصی جهت راه‌اندازی رشد حافظه نامحدود بهره‌برداری کند که در TLSv1 منجر به انجام حمله انکار سرویس خواهد شد.

محصولات تحت تأثیر
 فقط سرورهای  TLS که از TLSv1.3 پشتیبانی می‌کند تحت تاثیر این آسیب‌پذیری قرار دارند. ماژول‌های FIPS در 3.2، 3.1 و 3.0 تحت تأثیر این مشکل قرار نمی‌گیرند.  همچنین OpenSSL  نسخه 1.0.2 نیز تحت تأثیر نقص امنیتی مذکور نمی‌باشد.

توصیه‌های امنیتی
در صورتی که در TLSv1.3  از گزینه غیر پیش فرض SSL-OP-NO-TICKET استفاده شود، امکان انجام حمله انکار سرویس توسط مهاجم وجود خواهد داشت، اما اگر پشتیبانی early_data پیکربندی شده باشد و حفاظت پیش فرض anti-replay بکار گرفته شود، این اتفاق رخ نخواهد داد.

منابع خبر:

 

[1]https://ubuntu.com/security/CVE-2024-2511
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-2511