RustDesk geliştiricileri, bilgisayarların uzaktan kontrolü için açık kaynaklı uzak masaüstü yazılımının 1.2.3-1 sürümünü yayımladı. Böylece yanınızda getirdiğiniz test sertifikasından kaynaklanan güvenlikle ilgili bir hatayı düzeltmiş olursunuz.
Duyuru
Sorun, Kasım ayında RustDesk projesi tartışma panosunda da dahil olmak üzere tartışmalara yol açtı. Windows sürümünü yüklerken RustDesk, Windows'un bundan sonra kod tasarımı gibi şeyler için güvendiği bir kök sertifikayı bağladı. Bu, RustDesk sürücüsünü imzalamak için kullanılan bir test sertifikasıydı.
Test sertifikası tartışması
Bunun Windows'un güvendiği herhangi bir yazılımı imzalamak için kullanılıp kullanılamayacağı konusunda tartışmalar var. İmzalama için özel sertifikanın nasıl korunduğu belgelenmediğinden bu kritik bir güvenlik riskidir: atanan CVE girişi metninin iddia ettiği şey budur (CVE-2024-25140, CVSS) 9.8“Risk”eleştirmen“).
Microsoft, bir makalede test amacıyla geliştirme sırasında sürücü imzalamanın nasıl çalıştığını açıklamaktadır. RustDesk'in resmi kod tasarımı sertifikası, geliştiricilere göre sürücüleri imzalamak için bir ön koşul olan bir EV (Genişletilmiş Doğrulama) sertifikası değildir. Geçici bir çözüm olarak geliştiriciler yalnızca bir test sertifikası kullandılar.
Sondan bir önceki sürüme kadar RustDesk yükleyicisi, sertifikayı ve onunla imzalanan sürücüyü yüklemenin gerekli olup olmadığını sordu. Sürücü, sanal ekran için işlevler sağlar; bu, özellikle monitör olmadan çalışan sistemlerde kullanışlıdır. RustDesk geliştiricilerinin çözümü öncelikle test sertifikasını ve sürücüyü kaldırmaktır. Gelecekteki sürümlerin imzalanacağı bir EV sertifikası almak istiyorsunuz.
Sertifikayı manuel olarak kaldırın, üzerine yükleyin veya kaldırın
RustDesk 1.2.3-1 sürüm notlarında projenin geliştiricileri, güncellemenin aslında yalnızca x64 işlemci mimarilerindeki Windows için geçerli olduğunu yazıyor. Test sertifikasının neden olduğu güvenlik açığı üç şekilde ortadan kaldırılabilir: birincisi RustDesk'i kaldırarak, ikinci olarak RustDesk 1.2.3-1'e güncelleyerek ve üçüncü olarak sertifikayı manuel olarak kaldırarak. Ayrıca test sertifikasının kaldırılmasına yönelik talimatlar da verdiler. Yine de bir sanal ekran kurmak istiyorsanız bununla ilgili talimatları da bulacaksınız.
RustDesk, harici sunucu gerektirmeyen ve açık kaynaklı bir proje olarak ücretsiz olarak sunulan bir uzak masaüstü yazılımıdır. RustDesk, özellikle yakın zamanda Anydesk'te duyurulan siber olay ışığında alternatiflerden biri.
(Bilmiyorum)
Haberin Sonu
Duyuru
Sorun, Kasım ayında RustDesk projesi tartışma panosunda da dahil olmak üzere tartışmalara yol açtı. Windows sürümünü yüklerken RustDesk, Windows'un bundan sonra kod tasarımı gibi şeyler için güvendiği bir kök sertifikayı bağladı. Bu, RustDesk sürücüsünü imzalamak için kullanılan bir test sertifikasıydı.
Test sertifikası tartışması
Bunun Windows'un güvendiği herhangi bir yazılımı imzalamak için kullanılıp kullanılamayacağı konusunda tartışmalar var. İmzalama için özel sertifikanın nasıl korunduğu belgelenmediğinden bu kritik bir güvenlik riskidir: atanan CVE girişi metninin iddia ettiği şey budur (CVE-2024-25140, CVSS) 9.8“Risk”eleştirmen“).
Microsoft, bir makalede test amacıyla geliştirme sırasında sürücü imzalamanın nasıl çalıştığını açıklamaktadır. RustDesk'in resmi kod tasarımı sertifikası, geliştiricilere göre sürücüleri imzalamak için bir ön koşul olan bir EV (Genişletilmiş Doğrulama) sertifikası değildir. Geçici bir çözüm olarak geliştiriciler yalnızca bir test sertifikası kullandılar.
Sondan bir önceki sürüme kadar RustDesk yükleyicisi, sertifikayı ve onunla imzalanan sürücüyü yüklemenin gerekli olup olmadığını sordu. Sürücü, sanal ekran için işlevler sağlar; bu, özellikle monitör olmadan çalışan sistemlerde kullanışlıdır. RustDesk geliştiricilerinin çözümü öncelikle test sertifikasını ve sürücüyü kaldırmaktır. Gelecekteki sürümlerin imzalanacağı bir EV sertifikası almak istiyorsunuz.
Sertifikayı manuel olarak kaldırın, üzerine yükleyin veya kaldırın
RustDesk 1.2.3-1 sürüm notlarında projenin geliştiricileri, güncellemenin aslında yalnızca x64 işlemci mimarilerindeki Windows için geçerli olduğunu yazıyor. Test sertifikasının neden olduğu güvenlik açığı üç şekilde ortadan kaldırılabilir: birincisi RustDesk'i kaldırarak, ikinci olarak RustDesk 1.2.3-1'e güncelleyerek ve üçüncü olarak sertifikayı manuel olarak kaldırarak. Ayrıca test sertifikasının kaldırılmasına yönelik talimatlar da verdiler. Yine de bir sanal ekran kurmak istiyorsanız bununla ilgili talimatları da bulacaksınız.
RustDesk, harici sunucu gerektirmeyen ve açık kaynaklı bir proje olarak ücretsiz olarak sunulan bir uzak masaüstü yazılımıdır. RustDesk, özellikle yakın zamanda Anydesk'te duyurulan siber olay ışığında alternatiflerden biri.
(Bilmiyorum)
Haberin Sonu