کولن تھیری
اوپن ایس ایس ایل پروجیکٹ نے حال ہی میں اپنی اوپن سورس کرپٹوگرافک لائبریری میں دو ہائی سیوریٹی خامیاں پیدا کی ہیں جو کمیونیکیشن چینلز اور ایچ ٹی ٹی پی ایس کنکشنز کو خفیہ کرنے کے لیے استعمال کی جاتی ہیں۔
یہ کمزوریاں (CVE-2022-3602 اور CVE-2022-3786) OpenSSL ورژن 3.0.0 اور اس کے بعد کے ورژن کو متاثر کرتا ہے اور اسے OpenSSL 3.0.7 میں ایڈریس کیا گیا تھا۔
CVE-2022-3602 کا استعمال کریشز یا ریموٹ کوڈ ایگزیکیوشن (RCE) کے لیے کیا جا سکتا ہے، جبکہ CVE-2022-3786 کو دھمکی دینے والے افراد نقصان دہ ای میل پتوں کے ذریعے سروس سٹیٹ کے انکار کو متحرک کرنے کے لیے استعمال کر سکتے ہیں۔
اوپن ایس ایس ایل ٹیم نے کہا کہ "ہم اب بھی ان مسائل کو سنگین خطرات سمجھتے ہیں اور متاثرہ صارفین کو جلد از جلد اپ گریڈ کرنے کی ترغیب دی جاتی ہے۔" بیان منگل کو.
اس نے مزید کہا، "ہم کسی بھی کام کے استحصال سے واقف نہیں ہیں جو ریموٹ کوڈ پر عمل درآمد کا باعث بن سکتا ہے، اور ہمارے پاس اس پوسٹ کی ریلیز کے وقت تک ان مسائل کا استحصال ہونے کا کوئی ثبوت نہیں ہے۔"
OpenSSL کے مطابق سیکورٹی پالیسیکمپنیاں (جیسے ایکسپریس وی پی این) اور آئی ٹی ایڈمنز تھے۔ نے خبردار کیا پچھلے ہفتے ان کے ماحول کو کمزوریوں کے لیے تلاش کرنے کے لیے اور OpenSSL 3.0.7 کے جاری ہونے کے بعد انہیں پیچ کرنے کے لیے تیار کیا گیا۔
"اگر آپ پہلے سے جانتے ہیں کہ آپ OpenSSL 3.0+ کہاں استعمال کر رہے ہیں اور آپ اسے کیسے استعمال کر رہے ہیں تو جب ایڈوائزری آئے گی تو آپ جلدی سے اس بات کا تعین کر سکیں گے کہ آپ کس طرح متاثر ہوئے ہیں اور آپ کو کیا پیچ کرنے کی ضرورت ہے،" نے کہا OpenSSL کے بانی مارک جے کاکس نے ایک ٹویٹر پوسٹ میں۔
OpenSSL نے تخفیف کے اقدامات بھی فراہم کیے جن کے لیے ٹرانسپورٹ لیئر سیکیورٹی (TLS) سرورز کو چلانے والے منتظمین کو TLS کلائنٹ کی تصدیق کو غیر فعال کرنے کی ضرورت ہوتی ہے جب تک کہ پیچ لاگو نہ ہوں۔
کمزوریوں کا اثر اس سے کہیں زیادہ محدود تھا جتنا کہ ابتدائی طور پر سوچا گیا تھا کہ CVE-2022-3602 کو نازک سے گھٹا کر اعلیٰ شدت تک پہنچا دیا گیا تھا اور صرف OpenSSL 3.0 اور بعد کی مثالوں پر ہی اثر پڑتا ہے۔
فی کلاؤڈ سیکیورٹی فرم Wiz.io، تمام OpenSSL واقعات میں سے صرف 1.5% بڑے کلاؤڈ ماحول (بشمول، AWS، GCP، Azure، OCI، اور Alibaba Cloud) میں تعیناتیوں کا تجزیہ کرنے کے بعد سیکورٹی کی خرابی سے متاثر پائے گئے۔
نیدرلینڈز کے نیشنل سائبر سیکیورٹی سینٹر نے بھی ایک شیئر کیا۔ فہرست سافٹ ویئر پروڈکٹس کے اوپن ایس ایس ایل کے خطرے سے متاثر نہ ہونے کی تصدیق کی گئی ہے۔
