امنیت

March 31, 2024
11:15 یکشنبه، 12ام فروردینماه 1403
کد خبر: 163447

کشف آسیب‌پذیری در wolfSSL

منبع: ماهر

دو آسیب‌پذیری با شناسه‌های CVE-2024-2873 و شدت بحرانی (9.1) و CVE-2024-0901 و شدت بالا (7.5) برای wolfSSL کشف شده است که جزئیات آن‌ها به شرح ذیل می‌باشد:

1- آسیب‌پذیر با شناسه CVE-2024-2873 مربوط به wolfSSH’s server-side state machine است که در صورت بهره‌برداری به مهاجم اجازه می‌دهد تا بدون احراز هویت، دسترسی غیرمجاز به دست آورد.

2- آسیب‌پذیر با شناسه CVE-2024-0901 مربوط اجرای راه دور یک خطای تقسیم‌بندی (SEGV) و خواندن خارج از محدوده است که به فرستنده بسته مخرب این امکان را می‌دهد با ارسال بسته‌ای مخرب با طول صحیح، باعث از کار افتادن یا تحریک خواندن خارج از محدوده wolfSSL شود. به طور خاص، این نقص یک تهدید برای سیستم هایی است که از TLS 1.3 در سمت سرور استفاده می کنندکه ممکن است حمله انکار سرویس و خواندن خارج از محدوده (out-of-bounds read) رخ دهد.

بر اساس بردار حمله این آسیب‌پذیری‌ها (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) بهره‌برداری از آن‌ها از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: L) و به تعامل با کاربر نیاز ندارد (UI:N). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و دو ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

نقص با شناسه CVE-2024-2873 نسخه 1.4.16 و تمامی نسخه‌های ماقبل این نسخه از wolfSSH’s server-side state machine را تحت تأثیر قرار می‌دهد.
نقص با شناسه CVE-2024-0901 از نسخه 3.12.2 تا 5.6.6 را تحت تأثیر قرار می‌دهد.

برای نقص با شناسه CVE-2024-0901 به کاربران توصیه می‌شود به نسخه 5.7.0 به‌روزرسانی کنند.
برای نقص با شناسه CVE-2024-2873 به کاربران توصیه می‌شود به نسخه 1.4.17 به‌روزرسانی کنند.

 

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.