Οι ενημερώσεις κώδικα OpenSSL έχουν εξαντληθεί – ΚΡΙΣΙΜΟ σφάλμα υποβαθμίστηκε σε ΥΨΗΛΟ, αλλά επιδιορθώθηκε ούτως ή άλλως!

Θα ξεκινήσουμε με τα σημαντικά πράγματα: τις πολυαναμενόμενες διορθώσεις σφαλμάτων OpenSSL που ανακοινώθηκαν την περασμένη εβδομάδα είναι έξω.

Το OpenSSL 1.1.1 πηγαίνει στο έκδοση 1.1.1s, και διορθώνει ένα σφάλμα που σχετίζεται με την ασφάλεια που αναφέρεται στη λίστα, αλλά αυτό το σφάλμα δεν έχει βαθμολογία ασφαλείας ή επίσημο αριθμό CVE.

Συνιστούμε ανεπιφύλακτα να κάνετε ενημέρωση, αλλά η ΚΡΙΣΙΜΗ ενημέρωση που θα έχετε δει στα μέσα κυβερνοασφάλειας δεν ισχύει για αυτήν την έκδοση.

Το OpenSSL 3.0 πηγαίνει στο έκδοση 3.0.7, και διορθώνει όχι ένα αλλά δύο σφάλματα ασφαλείας με αριθμό CVE που έχουν χαρακτηριστεί επίσημα σε ΥΨΗΛΗ σοβαρότητα.

Συνιστούμε ανεπιφύλακτα να ενημερώσετε, με όσο πιο επείγοντα τρόπο μπορείτε, αλλά η ΚΡΙΣΙΜΗ λύση για την οποία μιλούσαν όλοι έχει πλέον υποβαθμιστεί σε ΥΨΗΛΗ σοβαρότητα.

Αυτό αντικατοπτρίζει τη γνώμη της ομάδας OpenSSL:

Προαναγγελίες του CVE-2022-3602 περιέγραψε αυτό το ζήτημα ως ΚΡΙΣΙΜΟ. Περαιτέρω ανάλυση που βασίζεται σε ορισμένους από τους ελαφρυντικούς παράγοντες που περιγράφονται [στις σημειώσεις έκδοσης] οδήγησαν σε υποβάθμιση σε HIGH. Οι χρήστες εξακολουθούν να ενθαρρύνονται να κάνουν αναβάθμιση σε νέα έκδοση το συντομότερο δυνατό.

Κατά ειρωνικό τρόπο, ένα δεύτερο και παρόμοιο bug, μεταγλωττισμένο CVE-2022-3786, ανακαλύφθηκε ενώ προετοιμαζόταν η ενημέρωση κώδικα για το CVE-2022-3602.

Το αρχικό σφάλμα επιτρέπει σε έναν εισβολέα να καταστρέψει μόνο τέσσερα byte στη στοίβα, γεγονός που περιορίζει τη δυνατότητα εκμετάλλευσης της τρύπας, ενώ το δεύτερο σφάλμα επιτρέπει απεριόριστο αριθμό υπερχείλισης στοίβας, αλλά προφανώς μόνο του χαρακτήρα "dot" (ASCII 46, ή 0x2E ) επαναλαμβάνεται ξανά και ξανά.

Και τα δύο τρωτά σημεία εκτίθενται κατά την επαλήθευση πιστοποιητικού TLS, όπου ένας πελάτης ή διακομιστής που έχει παγιδευτεί με παγίδευση «αναγνωρίζεται» στον διακομιστή ή τον πελάτη στο άλλο άκρο με ένα πιστοποιητικό TLS με εσκεμμένα λανθασμένη μορφή.

Παρόλο που αυτά τα είδη υπερχείλισης στοίβας (το ένα περιορισμένου μεγέθους και το άλλο περιορισμένων τιμών δεδομένων) ακούγονται σαν να είναι δύσκολο να τα εκμεταλλευτούμε για την εκτέλεση κώδικα (ειδικά σε λογισμικό 64-bit, όπου τέσσερα byte είναι μόνο το μισό μιας διεύθυνσης μνήμης) …

…είναι σχεδόν βέβαιο ότι θα είναι εύκολα εκμεταλλεύσιμα για επιθέσεις DoS (άρνηση υπηρεσίας), όπου ο αποστολέας ενός αδίστακτου πιστοποιητικού θα μπορούσε να καταστρέψει τον παραλήπτη αυτού του πιστοποιητικού κατά βούληση.

Ευτυχώς, οι περισσότερες ανταλλαγές TLS περιλαμβάνουν πελάτες που επαληθεύουν τα πιστοποιητικά διακομιστή και όχι το αντίστροφο.

Οι περισσότεροι διακομιστές ιστού, για παράδειγμα, δεν απαιτούν από τους επισκέπτες να ταυτοποιηθούν με ένα πιστοποιητικό προτού τους επιτρέψουν να διαβάσουν τον ιστότοπο, επομένως η «κατεύθυνση σύγκρουσης» οποιωνδήποτε λειτουργικών εκμεταλλεύσεων είναι πιθανό να είναι αδίστακτοι διακομιστές που διακόπτουν τους άτυχους επισκέπτες, κάτι που γενικά θεωρείται πολύ λιγότερο σοβαρό από ό,τι οι διακομιστές καταρρέουν κάθε φορά που τους περιηγείται ένας μόνο απατεώνας επισκέπτης.

Ωστόσο, οποιαδήποτε τεχνική με την οποία ένας παραβιασμένος διακομιστής ιστού ή email μπορεί άσκοπα να καταρρεύσει ένα πρόγραμμα περιήγησης ή μια εφαρμογή ηλεκτρονικού ταχυδρομείου που επισκέπτεται πρέπει να θεωρείται επικίνδυνη, κυρίως επειδή οποιαδήποτε προσπάθεια από το λογισμικό πελάτη να επαναλάβει τη σύνδεση θα έχει ως αποτέλεσμα τη διακοπή λειτουργίας της εφαρμογής ξανά και ξανά και ξανά πάλι.

Επομένως, σίγουρα θέλετε διορθώστε αυτό το συντομότερο δυνατό.

Τι να κάνω;

Όπως αναφέρθηκε παραπάνω, χρειάζεστε OpenSSL 1.1.1s or Ανοίξτε το SSL 3.0.7 για να αντικαταστήσετε όποια έκδοση έχετε αυτή τη στιγμή.

OpenSSL 1.1.1s λαμβάνει μια ενημερωμένη έκδοση κώδικα ασφαλείας που περιγράφεται ως επιδιόρθωση "μια παλινδρόμηση [ένα παλιό σφάλμα που εμφανίστηκε ξανά] που εισήχθη στο OpenSSL 1.1.1r που δεν ανανεώνει τα δεδομένα του πιστοποιητικού που πρέπει να υπογραφούν πριν από την υπογραφή του πιστοποιητικού", αυτό το σφάλμα δεν έχει σοβαρότητα ή CVE που του έχει εκχωρηθεί…

…αλλά μην το αφήσετε αυτό να σας αναγκάσει να ενημερώσετε όσο πιο γρήγορα μπορείτε.

Ανοίξτε το SSL 3.0.7 λαμβάνει τις δύο επιδιορθώσεις υψηλής σοβαρότητας με αριθμό CVE που αναφέρονται παραπάνω, και παρόλο που δεν ακούγονται τόσο τρομακτικές τώρα όσο στο φεστιβάλ ειδήσεων που οδήγησε σε αυτήν την κυκλοφορία, θα πρέπει να υποθέσετε ότι:

• Πολλοί εισβολείς θα καταλάβουν γρήγορα πώς να εκμεταλλευτούν αυτές τις τρύπες για σκοπούς DoS. Αυτό θα μπορούσε να προκαλέσει διακοπή της ροής εργασιών στην καλύτερη περίπτωση και προβλήματα στον κυβερνοχώρο στη χειρότερη, ειδικά εάν το σφάλμα μπορεί να γίνει κατάχρηση για να επιβραδυνθεί ή να σπάσει σημαντικές αυτοματοποιημένες διαδικασίες (όπως ενημερώσεις) στο οικοσύστημά σας.
• Ορισμένοι εισβολείς μπορεί να είναι σε θέση να μπερδέψουν αυτά τα σφάλματα για την απομακρυσμένη εκτέλεση κώδικα. Αυτό θα έδινε στους εγκληματίες μια καλή ευκαιρία να χρησιμοποιήσουν διακομιστές ιστού που έχουν παγιδευτεί για να ανατρέψουν το λογισμικό πελάτη που χρησιμοποιείται για ασφαλείς λήψεις στην επιχείρησή σας.
• Εάν βρεθεί ένα proof-of-concept (PoC), θα προσελκύσει τεράστιο ενδιαφέρον. Όπως θα θυμάστε από το Log4Shell, μόλις δημοσιεύτηκαν τα PoCs, χιλιάδες αυτοαποκαλούμενοι «ερευνητές» πήδηξαν στη σάρωση του διαδικτύου και επιτέθηκαν με το πρόσχημα του «βοηθώντας» τους ανθρώπους να βρουν προβλήματα στα δίκτυά τους.

Λάβετε υπόψη ότι το OpenSSL 1.0.2 εξακολουθεί να υποστηρίζεται και να ενημερώνεται, αλλά μόνο ιδιωτικά, για πελάτες που έχουν πληρώσει συμβόλαια με την ομάδα OpenSSL, γι' αυτό δεν έχουμε καμία πληροφορία για να το αποκαλύψουμε εδώ, εκτός από την επιβεβαίωση ότι το CVE -τα αριθμημένα σφάλματα στο OpenSSL 3.0 δεν ισχύουν για τη σειρά OpenSSL 1.0.2.

Μπορείς να Διαβάστε περισσότερα, και πάρτε το δικό σας Ενημερώσεις OpenSSL, από το Ιστότοπος OpenSSL.

Ω, και αν τα PoC αρχίσουν να εμφανίζονται στο διαδίκτυο, μην είστε έξυπνοι και αρχίστε να «δοκιμάζετε» αυτά τα PoC σε υπολογιστές άλλων ανθρώπων με την εντύπωση ότι «βοηθάτε» σε οποιοδήποτε είδος «έρευνας».

---