Kiberxavfsizlik mutaxassislari wolfSSL kutubxonasida aniqlangan bir nechta yangi zaifliklar haqida ogohlantirdi. Ushbu muammolar o‘z vaqtida bartaraf etilmasa, milliardlab serverlar, IoT qurilmalari va boshqa o‘rnatilgan tizimlar sertifikatlarni soxtalashtirish, masofadan kod bajarish (RCE) hamda xizmatni rad etish (DoS) hujumlari xavfi ostida qolishi mumkin.
wolfSSL — web serverlar, VPN xizmatlari, sanoat boshqaruv tizimlari, avtomobil elektronikasi va resurslari cheklangan IoT qurilmalarida keng qo‘llaniladigan yengil SSL/TLS kutubxonasidir.
Shuningdek, ko‘plab loyihalar wolfSSL tarkibidagi wolfCrypt kriptografik modulidan foydalanadi va aniqlangan zaifliklarning bir qismi aynan ushbu komponentga ham ta'sir ko‘rsatadi.
Tadqiqotchilar ta'kidlashicha, zaifliklar TLS xavfsizligining asosiy ishonch mexanizmlarini izdan chiqarishi mumkin. Natijada hujumchilar qalbaki sertifikatlarni haqiqiy sifatida qabul qildirishi, xotira buzilishidan foydalanishi hamda zamonaviy va post-kvant kriptografik himoyalarni chetlab o‘tishi mumkin.
Multiple wolfSSL Vulnerabilities
Aniqlangan eng xavfli zaifliklardan bir nechtasi OpenSSL bilan mos ishlovchi wolfSSL_X509_verify_cert sertifikat tekshirish mexanizmiga taalluqli.
Xususan:
- CVE-2026-11310
- CVE-2026-11999
zaifliklari ishonchsiz oraliq (Intermediate) sertifikatlarni noto‘g‘ri tarzda ishonchli deb qabul qilinishiga olib kelishi mumkin.
Bundan tashqari:
- CVE-2026-6091 — partial-chain sertifikatlarni qabul qilish
- CVE-2026-55960 — kelishilmagan Raw Public Key'larni qabul qilish
kabi zaifliklar TLS identifikatsiya mexanizmini zaiflashtiradi va Man-in-the-Middle (MitM) hamda serverni soxtalashtirish hujumlariga yo‘l ochadi.
Yana bir qator zaifliklar DTLS 1.3 va PKCS7 komponentlarida xotira bilan ishlashdagi xatolarni o‘z ichiga oladi.
Jumladan:
- CVE-2026-6679
- CVE-2026-5264
maxsus tayyorlangan DTLS ACK paketlari orqali heap buffer overflow holatini yuzaga keltirib, masofadan turib tizimni ishdan chiqarish yoki ayrim holatlarda kod bajarish imkonini yaratishi mumkin.
PKCS7 bilan bog‘liq:
- CVE-2026-5295
va boshqa dekodlash xatolari esa CMS, S/MIME hamda PKCS7 asosidagi xavfsiz xabar almashish tizimlariga ta'sir qiladi.
wolfSSL ishlab chiquvchilari yana wolfCrypt kutubxonasidagi post-kvant kriptografiyasi bilan bog‘liq bir nechta zaifliklarni ham tasdiqlagan.
Jumladan CVE-2026-5194 ayrim imzolash algoritmlarida digest hajmi va OID tekshiruvining yetarli darajada amalga oshirilmasligi sababli FIPS standartlariga mos kelmaydigan qisqartirilgan xeshlar bilan ishlash imkonini beradi.
Shuningdek, ayrim ML-KEM va ML-DSA implementatsiyalarida shifrlangan ma'lumotning faqat bir qismi tekshirilishi yoki implicit rejection mexanizmining noto‘g‘ri ishlashi post-kvant kalit almashish algoritmlarining kriptografik mustahkamligini pasaytiradi.
Mutaxassislarning fikricha, yangilanmagan wolfSSL versiyalaridan foydalanayotgan tizimlar quyidagi xavflarga duch kelishi mumkin:
- Sertifikatlarni soxtalashtirish
- TLS autentifikatsiyasini chetlab o‘tish
- Heap memory buzilishi
- Padding Oracle hujumlari
- Masofadan xizmatni rad etish (DoS)
- Ayrim holatlarda masofadan kod bajarish (RCE)
Ayniqsa DTLS 1.3, PKCS7, post-kvant kriptografiyasi va OpenSSL moslik funksiyalari yoqilgan tizimlar yuqori xavf ostida ekani ta'kidlanmoqda.
Mutaxassislar administratorlar va IoT qurilmalari ishlab chiqaruvchilariga imkon qadar tezroq wolfSSL 5.9.1 yoki wolfSSL 5.9.2 versiyalariga yangilanishni tavsiya qilmoqda.
Shuningdek, zarur bo‘lmagan hollarda:
- OpenSSL compatibility
- PKCS7
- Experimental post-quantum crypto
kabi funksiyalarni o‘chirib qo‘yish tavsiya etiladi.
Firmware ishlab chiqaruvchilari esa yangilangan wolfSSL kutubxonasi bilan qurilmalarni qayta kompilyatsiya qilishi, sertifikat tekshirish logikasini qayta ko‘rib chiqishi hamda wolfSSL xizmatlariga qaratilgan shubhali TLS va DTLS trafiklarini muntazam monitoring qilib borishi tavsiya etilmoqda.