OpenSSL patches er ude – KRITISK fejl nedgraderet til HØJ, men patch alligevel!

Vi starter med de vigtige ting: de længe ventede OpenSSL-fejlrettelser, der blev annonceret i sidste uge er ude.

OpenSSL 1.1.1 går til version 1.1.1s, og retter en anført sikkerhedsrelateret fejl, men denne fejl har ikke en sikkerhedsvurdering eller et officielt CVE-nummer.

Vi anbefaler kraftigt, at du opdaterer, men den KRITISKA opdatering, som du har set i cybersikkerhedsmedierne, gælder ikke for denne version.

OpenSSL 3.0 går til udgave 3.0.7, og retter ikke én men to CVE-nummererede sikkerhedsfejl, der er officielt udpeget til HØJ alvorlighed.

Vi anbefaler på det kraftigste, at du opdaterer, med så meget haste, som du kan mønstre, men den KRITISKE rettelse, som alle har talt om, er nu blevet nedgraderet til HØJ alvorlighed.

Dette afspejler holdningen fra OpenSSL-teamet:

Forudmeldinger af CVE-2022-3602 beskrev dette problem som KRITISK. Yderligere analyse baseret på nogle af de formildende faktorer beskrevet [i udgivelsesbemærkningerne] har ført til, at dette er blevet nedgraderet til HØJ. Brugere opfordres stadig til at opgradere til en ny version så hurtigt som muligt.

Ironisk nok, en anden og lignende fejl, døbt CVE-2022-3786, blev opdaget, mens rettelsen til CVE-2022-3602 blev udarbejdet.

Den originale fejl tillader kun en angriber at ødelægge fire bytes på stakken, hvilket begrænser udnyttelsen af ​​hullet, mens den anden fejl tillader en ubegrænset mængde af stak-overløb, men tilsyneladende kun af "dot"-karakteren (ASCII 46 eller 0x2E ) gentaget igen og igen.

Begge sårbarheder afsløres under TLS-certifikatverifikation, hvor en booby-fanget klient eller server "identificerer" sig selv over for serveren eller klienten i den anden ende med et bevidst misformet TLS-certifikat.

Selvom disse former for stack overflow (en med begrænset størrelse og den anden med begrænsede dataværdier) lyder som om de vil være svære at udnytte til kodeudførelse (især i 64-bit software, hvor fire bytes kun er halvdelen af ​​en hukommelsesadresse) …

…de er næsten sikre på, at de let kan udnyttes til DoS (denial of service)-angreb, hvor afsenderen af ​​et slyngelcertifikat kan crashe modtageren af ​​det pågældende certifikat efter behag.

Heldigvis involverer de fleste TLS-udvekslinger klienter, der bekræfter servercertifikater, og ikke omvendt.

De fleste webservere kræver f.eks. ikke, at besøgende identificerer sig med et certifikat, før de tillader dem at læse webstedet, så "nedbrudsretningen" for enhver fungerende udnyttelse vil sandsynligvis være useriøse servere, der crasher ulykkelige besøgende, hvilket generelt anses for meget mindre alvorligt end servere, der går ned, hver gang en enkelt useriøs besøgende besøger dem.

Ikke desto mindre må enhver teknik, hvorved en hacket web- eller e-mail-server gratis kan nedbryde en besøgende browser eller e-mail-app, betragtes som farlig, ikke mindst fordi ethvert forsøg fra klientsoftwaren på at prøve forbindelsen igen vil resultere i, at appen går ned igen og igen og igen igen.

Det vil du derfor bestemt gerne patch mod dette så snart du kan.

Hvad skal jeg gøre?

Som nævnt ovenfor har du brug for OpenSSL 1.1.1s or Åbn SSL 3.0.7 at erstatte den version, du har i øjeblikket.

OpenSSL 1.1.1s får en sikkerhedsrettelse, der beskrives som fixing "en regression [en gammel fejl, der dukkede op igen] introduceret i OpenSSL 1.1.1r, der ikke opdaterer certifikatdataene, der skal signeres, før certifikatet signeres", den fejl har ikke en sværhedsgrad eller en CVE tildelt den...

…men lad det ikke afskrække dig fra at opdatere, så snart du kan.

Åbn SSL 3.0.7 får de to CVE-nummererede HIGH-severity rettelser anført ovenfor, og selvom de ikke lyder helt så skræmmende nu, som de gjorde i nyhedsfesten op til denne udgivelse, bør du antage, at:

• Mange angribere vil hurtigt finde ud af, hvordan man udnytter disse huller til DoS-formål. Det kan i bedste fald forårsage afbrydelse af arbejdsgangen og i værste fald problemer med cybersikkerhed, især hvis fejlen kan misbruges til at bremse eller bryde vigtige automatiserede processer (såsom opdateringer) i dit it-økosystem.
• Nogle angribere er muligvis i stand til at skændes med disse fejl for fjernudførelse af kode. Dette ville give kriminelle en god chance for at bruge booby-fangede webservere til at undergrave klientsoftware, der bruges til sikre downloads i din egen virksomhed.
• Hvis et proof-of-concept (PoC) bliver fundet, vil det tiltrække stor interesse. Som du vil huske fra Log4Shell, hoppede tusindvis af selverklærede "forskere" med på scan-the-internet-og-angreb-as-you-go-vognen, så snart PoC'er blev offentliggjort, under dække af at "hjælpe" folk med at finde problemer på deres netværk.

Bemærk, at OpenSSL 1.0.2 stadig understøttes og opdateres, men kun privat, for kunder, der har betalt kontrakter med OpenSSL-teamet, hvorfor vi ikke har nogen information at afsløre om det her, udover at bekræfte, at CVE -nummererede fejl i OpenSSL 3.0 gælder ikke for OpenSSL 1.0.2-serien.

Du kan Læs mere, og få din OpenSSL-opdateringer, fra OpenSSL hjemmeside.

Åh, og hvis PoC'er begynder at dukke op online, skal du ikke være en kloge træsko og begynde at "prøve" disse PoC'er mod andres computere under indtryk af, at du "hjælper" med enhver form for "forskning".

---