OpenSSL, yüksek önem derecesine sahip hatayı düzeltti

Yaygın olarak web sitesi ve e-posta şifrelemesi için kullanılan yazılım kitaplığı olan OpenSSL, bilgisayar korsanlarının çok sayıda sunucuyu tamamen kapatmasını kolaylaştıran yüksek önem derecesine sahip bir güvenlik açığına yama uyguladı.

OpenSSL’nin İnternet güvenliğinde oynadığı önemli rol, 2014 yılında bilgisayar korsanlarının açık kaynak kod kitaplığındaki şifreleme anahtarlarını, müşteri bilgilerini ve dünyanın her yerindeki sunuculardan diğer hassas verileri çalmalarına izin veren kritik bir güvenlik açığından yararlanmaya başlamasıyla ortaya çıktı. Heartbleed olarak adlandırılan güvenlik açığı , birkaç satırlık hatalı kodun bankaların, haber sitelerinin, hukuk firmalarının ve daha fazlasının güvenliğini nasıl alt edebileceğini göstermiş oldu.

Perşembe günü, OpenSSL bakımcıları, kimliği doğrulanmamış bir son kullanıcıdan kötü niyetle oluşturulmuş bir istek aldıklarında sunucuların çökmesine neden olan bir güvenlik açığını açıkladılar ve yamaladılar. CVE-2021-3449, sunucu reddi güvenlik açığı izlendiğinden, boş işaretçi özümleme hatasının sonucudur. Kriptografi mühendisi Filippo Valsorda  , Twitter’da kusurun muhtemelen şimdiye kadar keşfedilmiş olabileceğini söyledi .

Bilgisayar korsanları, bir sunucuya ilk el sıkışma sırasında, son kullanıcı ile sunucu arasında güvenli bir bağlantı kuran kötü amaçla oluşturulmuş bir yeniden müzakere isteği göndererek bu güvenlik açığından yararlanabilir.

OpenSSL ayrıca, uygulamaların tarayıcıya güvenilen bir sertifika yetkilisi tarafından dijital olarak imzalanmamış TLS sertifikalarını algılamasını ve reddetmesini engelleyen farklı bir güvenlik açığını da giderdi. CVE-2021-3450 olarak izlenen güvenlik açığı, kodda bulunan bir X509_V_FLAG_X509_STRICT bayrağı ile çeşitli parametreler arasındaki etkileşimi içerir.

Yazının orijinalini buradan okuyabilirsiniz.

Hüseyin GÜÇ

Kariyerime 26 yıl önce başladım. Windows ve Linux sistemlerinin kurulumu, yapılandırılması, yönetimi ve bakımı dahil olmak üzere birden fazla sistem üzerinde uzmanlaştım. Açık kaynak dünyasındaki en son gelişmelerden haberdar olmaktan ve Linux hakkındaki en son araçları, özellikleri ve hizmetleri denemekten hoşlanıyorum. Son 6 yıldır  sistem ve ağ yöneticisi olarak görev yapıyorum ayrıca Pardus Dönüşüm Projesini yönetiyorum ve Pardus İşletim Sisteminin yaygınlaşması adına uğraş gösteriyorum. Boş zamanlarımda açık kaynaklı uygulamaların Türkçe çevirisine katılıyorum ve The Document Foundation üyesiyim.