কলিন থিয়েরি
OpenSSL প্রজেক্ট সম্প্রতি যোগাযোগ চ্যানেল এবং HTTPS সংযোগ এনক্রিপ্ট করতে ব্যবহৃত তার ওপেন-সোর্স ক্রিপ্টোগ্রাফিক লাইব্রেরিতে দুটি উচ্চ-তীব্র নিরাপত্তা ত্রুটি প্যাচ করেছে।
এই দুর্বলতাগুলি (CVE-2022-3602 এবং CVE-2022-3786) OpenSSL সংস্করণ 3.0.0 এবং পরবর্তীতে প্রভাবিত করে এবং OpenSSL 3.0.7 এ সম্বোধন করা হয়েছিল।
CVE-2022-3602 কে ক্র্যাশ বা রিমোট কোড এক্সিকিউশন (RCE) ঘটাতে কাজে লাগানো যেতে পারে, অন্যদিকে CVE-2022-3786 হুমকি অভিনেতাদের দ্বারা দূষিত ইমেল ঠিকানার মাধ্যমে পরিষেবার অবস্থা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে।
"আমরা এখনও এই সমস্যাগুলিকে গুরুতর দুর্বলতা হিসাবে বিবেচনা করি এবং প্রভাবিত ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব আপগ্রেড করতে উত্সাহিত করা হয়," OpenSSL টিম একটি বার্তায় বলেছে। বিবৃতি মঙ্গলবারে.
"আমরা এমন কোনও কাজের শোষণের বিষয়ে সচেতন নই যা দূরবর্তী কোড সম্পাদনের দিকে পরিচালিত করতে পারে, এবং এই পোস্টটি প্রকাশের সময় পর্যন্ত আমাদের কাছে এই সমস্যাগুলির শোষণের কোনও প্রমাণ নেই," এটি যোগ করেছে।
OpenSSL এর মতে নিরাপত্তা নীতি, কোম্পানি (যেমন ExpressVPN) এবং আইটি অ্যাডমিন ছিলেন সতর্ক গত সপ্তাহে দুর্বলতার জন্য তাদের পরিবেশ অনুসন্ধান করতে এবং OpenSSL 3.0.7 প্রকাশের পর সেগুলি প্যাচ করার জন্য প্রস্তুত করতে।
"আপনি যদি আগে থেকেই জানেন যে আপনি কোথায় OpenSSL 3.0+ ব্যবহার করছেন এবং আপনি কীভাবে এটি ব্যবহার করছেন, তাহলে যখন পরামর্শ আসবে তখন আপনি দ্রুত নির্ণয় করতে সক্ষম হবেন যে আপনি কীভাবে প্রভাবিত হয়েছেন কিনা এবং আপনাকে কী প্যাচ করতে হবে," বলেছেন ওপেনএসএসএল প্রতিষ্ঠাতা মার্ক জে কক্স একটি টুইটার পোস্টে।
ওপেনএসএসএল প্যাচ প্রয়োগ না হওয়া পর্যন্ত TLS ক্লায়েন্ট প্রমাণীকরণ নিষ্ক্রিয় করার জন্য ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) সার্ভার পরিচালনাকারী প্রশাসকদের প্রয়োজন প্রশমনের ব্যবস্থাও প্রদান করেছে।
CVE-2022-3602কে জটিল থেকে উচ্চ-তীব্রতায় নামিয়ে দেওয়া হয়েছে এবং শুধুমাত্র OpenSSL 3.0 এবং পরবর্তী দৃষ্টান্তগুলিকে প্রভাবিত করার কারণে দুর্বলতার প্রভাবগুলি প্রাথমিকভাবে ধারণার চেয়ে অনেক বেশি সীমিত ছিল।
প্রতি ক্লাউড সিকিউরিটি ফার্ম Wiz.io, সমস্ত OpenSSL দৃষ্টান্তের মাত্র 1.5% প্রধান ক্লাউড পরিবেশে স্থাপনার বিশ্লেষণ করার পরে (AWS, GCP, Azure, OCI, এবং Alibaba ক্লাউড সহ) নিরাপত্তা ত্রুটি দ্বারা প্রভাবিত হয়েছে।
নেদারল্যান্ডসের ন্যাশনাল সাইবার সিকিউরিটি সেন্টারও একটি শেয়ার করেছে তালিকা সফ্টওয়্যার পণ্যগুলির OpenSSL দুর্বলতা দ্বারা প্রভাবিত না থাকার বিষয়টি নিশ্চিত করা হয়েছে।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- সুরক্ষা গোয়েন্দা
- ভিপিএন
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
