برنامه و سرورهای مولود تحت تأثیر OpenSSL CVE-2020-1967 – وبلاگ

در چهاردهم آوریل ، ما هشدار داده شدیم که آسیب پذیری امروز از طریق https://mta.openssl.org/pipermail/openssl-announce/2020-April/000170.html. موفق19459003 منتشر می شود.
از آنجا که شدت آن به عنوان HIGH گزارش شده است ، ما بررسی کردیم که کدام بخش از خدمات ما در برابر این آسیب پذیر است. ما این کار را انجام دادیم:

• ما در صفحه سرورهای خود یک اعلان را قرار دادیم https://mullvad.net/servers/#/ به کاربران هشدار داده شده درباره خرابی کوتاه سرورهای هفته گذشته ، تا کاربران بتوانند طبق نیاز آنها آماده سازی کنند. در همان زمان ما برنامه ریزی کردیم تا نسخه های OpenVPN را با پیشرفت های دیگر ایجاد کنیم
• ما آماده سازی نسخه جدید برنامه Mullvad VPN را با نسخه ثابت OpenSSL در صورت لزوم ساختیم.
• ما آماده سازی هایی را انجام دادیم تا بتوانیم سرورهای خود را مستقر کنیم. با نسخه بی تأثیر به محض اینکه در مخازن دبیان و اوبونتو در دسترس قرار گرفت.

امروز ، پروژه OpenSSL مشاوره امنیتی را منتشر کرد https://www.openssl.org/news/secadv/20200421.txt ، CVE-2020 -1967 واضح است که این آسیب پذیری محدود به حمله انکار سرویس توسط یک مشتری یا سرور مخرب TLS به عنوان بدترین سناریو است. علاوه بر این ، این آسیب پذیری فقط روی نسخه های OpenSSL 1.1.1d ، 1.1.1e و 1.1.1f تأثیر می گذارد.

هیچ تاثیری روی برنامه

برنامه VPN Mullvad از سه روش OpenSSL استفاده می کند. در OpenVPN ، Shadowsocks و هنگام برقراری ارتباط با سرورهای API ما.

هر دو OpenVPN و Shadowsocks به عنوان زیر پردازش های Daemon عمل می کنند. این اشکال به خودی خود یک عدم وجود اشاره گر پوچ است که تنها می تواند باعث شود فرآیندی که باعث خرابی این اشکال شود. این بدان معناست که اگر در OpenVPN یا Shadowsocks اشکال ایجاد شود ، فرایندها خراب می شوند / خارج می شوند. Daemon آن را به عنوان یک قطع اتصال طبیعی ، تمیز کردن و ایجاد یک تونل جدید ، درمان می کند ، همه این در حالی است که امنیت سیستم را با فایروال محکم نگه می دارد.

بخشی از Daemon که با سرورهای API ما ارتباط برقرار می کند ، عملکرد را با آن صدا نمی کند. bug dereference اشاره گر صفر (SSL_check_chain) ، بنابراین نمی تواند آن را فعال کند.

تأثیر در زیرساخت های ما

ما فقط از نسخه های تحت تأثیر OpenSSL در چند سرور برای گزارش گیری معیارهای سیستم برای زیرساخت های داخلی استفاده می کنیم. همه سرورهای دیگر ما ، از جمله رله های OpenVPN و Wireguard VPN و همچنین API و وب سایت ما ، بی تأثیر هستند.

به طور خلاصه ، این آسیب پذیری هیچ تاثیری در زیرساخت های عمومی روبرو ما ندارد و برای زیرساخت های داخلی ما امکان دسترسی به سرور مانیتورینگ محدود به سرورهای داخلی خودمان است.

ما می خواهیم به روز رسانی های فوق الذکر را به OpenVPN ، و به روز رسانی نسخه OpenSSL که برای معیارهای سرور استفاده می کنیم ، طبق برنامه ریزی انجام دهیم. ما انتظار داریم این کار در روز جمعه ، 24 آوریل ، 2020 یا قبل از آن به اتمام برسد.