OpenSSLda yuqori darajadagi masofadan kod bajarish zaifligi tuzatildi
1
34
0
OpenSSLda jami 12 ta zaiflik bartaraf etildi, ularning barchasi bitta kiberxavfsizlik kompaniyasi tomonidan aniqlangan.
Seshanba kuni chiqarilgan OpenSSL yangilanishlari o‘nlab zaifliklarni bartaraf etdi, ular orasida yuqori darajadagi masofadan kod ijro etish (remote code execution) xatosi ham bor.
Ochiq manbali SSL/TLS tulkitida tuzatilgan barcha 12 ta zaiflik kiberxavfsizlik kompaniyasi Aisle tomonidan aniqlangan bo‘lib, ular xavfsizlik bo‘shliqlarini topish uchun mustaqil tahlil vositasidan foydalangan.
Yuqori darajadagi muammo CVE-2025-15467 sifatida kuzatiladi va u stack buffer overflow sifatida tavsiflangan bo‘lib, ma’lum sharoitlarda tizimning ishdan chiqishiga (DoS holati) yoki masofadan kod ijro etilishiga olib kelishi mumkin.
OpenSSL ta'minotchilari o‘z maslahatnomasida quyidagilarni tushuntirdi:
AEAD shifrlari, masalan AES-GCMdan foydalanadigan CMS AuthEnvelopedData tuzilmalarini tahlil qilish jarayonida ASN.1 parametrlarida kodlangan IV (Initialization Vector) uning uzunligi manzilga sig‘ishini tekshirmasdan, qat’iy o‘lchamdagi stack bufferga nusxalanadi. Hujumchi haddan tashqari katta IVga ega bo‘lgan maxsus tayyorlangan CMS xabarini yuborishi mumkin, bu esa tasdiqlov yoki tag tekshiruvi amalga oshirilishidan oldin stack asosidagi chegaradan tashqari yozuvga olib keladi.
Ishonchsiz CMS yoki PKCS#7 tarkibini AEAD shifrlari bilan (masalan, AES-GCM ishlatiladigan S/MIME AuthEnvelopedData) tahlil qiladigan ilovalar va xizmatlar zaif hisoblanadi. Overflow tasdiqlovdan oldin yuz bergani sababli, uni qo‘zg‘atish uchun haqiqiy kalit materiallari talab etilmaydi. Masofadan kod ijro etish imkoniyati platforma va toolchain mitigatsiyalariga bog‘liq bo‘lsa-da, stack asosidagi yozish primitivining o‘zi jiddiy xavf tug‘diradi.
OpenSSLning so‘nggi relizlari, shuningdek, CVE-2025-11187 ni ham bartaraf etdi — bu o‘rta darajadagi zaiflik bo‘lib, undan foydalanish DoS holatiga yoki hatto masofadan kod ijro etilishiga olib kelishi mumkin.
Qolgan zaifliklar past darajali deb tasniflangan. Ularning aksariyati DoS holatini keltirib chiqarish uchun ishlatilishi mumkin, yana bir nechasi esa tasdiqlov va axborot sizishi bo‘lishi bilan bog‘liq.
Aisle shuni ham ta’kidladi-ki, CVE berilgan 12 ta zaiflikdan tashqari, relizga kiritilgan kodga yetib kelmasidan oldin bartaraf etilgan yana olti muammoni ham aniqlagan.
