Alustame olulistest asjadest: eelmisel nädalal avaldatud kauaoodatud OpenSSL-i veaparandused on väljas.
OpenSSL 1.1.1 läheb juurde versioon 1.1.1sja parandab ühe loetletud turvalisusega seotud vea, kuid sellel veal pole turvareitingut ega ametlikku CVE-numbrit.
Soovitame tungivalt värskendada, kuid KRIITILINE värskendus, mida olete küberturvameedias näinud, ei kehti selle versiooni kohta.
OpenSSL 3.0 läheb juurde versioon 3.0.7ja parandab mitte ühe, vaid kaks CVE-numbriga turvavea, mis on ametlikult määratud KÕRGE raskusastmega.
Soovitame tungivalt värskendada nii kiiresti kui võimalik, kuid KRIITILINE parandus, millest kõik on rääkinud, on nüüd alandatud KÕRGE raskusastmele.
See peegeldab OpenSSL-i meeskonna arvamust:
Eelteated CVE-2022-3602 kirjeldas seda probleemi KRIITILISena. Täiendav analüüs, mis põhineb mõningatel [väljalaskemärkmetes] kirjeldatud kergendavatel teguritel, on viinud selle alandamise tasemeni HIGH. Kasutajaid julgustatakse endiselt võimalikult kiiresti uuele versioonile üle minema.
Irooniline, teine ja sarnane viga, dubleeritud CVE-2022-3786, avastati CVE-2022-3602 paranduse ettevalmistamise ajal.
Algne viga lubab ründajal rikkuda vaid neli baiti pinus, mis piirab augu kasutatavust, samas kui teine viga võimaldab piiramatul hulgal pinu ületäitumist, kuid ilmselt ainult "punkt" tähemärki (ASCII 46 või 0x2E ) korratakse ikka ja jälle.
Mõlemad haavatavused paljastatakse TLS-i sertifikaadi kontrollimise käigus, kus kinnijäänud klient või server "identifitseerib" end teises otsas olevale serverile või kliendile tahtlikult valesti vormindatud TLS-sertifikaadiga.
Kuigi seda tüüpi pinu ületäitumine (üks piiratud suurusega ja teine piiratud andmeväärtustega) kõlab nii, nagu oleks neid koodi täitmiseks raske ära kasutada (eriti 64-bitises tarkvaras, kus neli baiti on vaid pool mäluaadressist) …
...on neid peaaegu kindlasti hõlpsasti kasutatavad DoS-i (teenuse keelamise) rünnakute jaoks, kus petturliku sertifikaadi saatja võib selle sertifikaadi adressaadiga oma tahtmise järgi kokku kukkuda.
Õnneks hõlmab enamik TLS-i vahetusi kliente, kes kontrollivad serveri sertifikaate, ja mitte vastupidi.
Näiteks enamik veebiservereid ei nõua külastajatelt end sertifikaadiga identifitseerima, enne kui nad lubavad neil saiti lugeda, nii et mis tahes töötava ärakasutamise "krahhi suund" on tõenäoliselt petturlikud serverid, mis jooksevad õnnetute külastajate kokku, mida üldiselt peetakse. palju leebemad kui serverid, mis jooksevad kokku iga kord, kui neid sirvib üks petis külastaja.
Sellegipoolest tuleb kõiki tehnikaid, mille abil häkitud veebi- või meiliserver võib külastatava brauseri või meilirakenduse tasuta kokkujooksda, pidada ohtlikuks, muu hulgas seetõttu, et kõik klienditarkvara katsed ühendust uuesti proovida põhjustab rakenduse jooksmise ikka ja jälle. uuesti.
Seetõttu soovite kindlasti plaaster selle vastu niipea kui võimalik.
Mida teha?
Nagu eespool mainitud, vajate OpenSSL 1.1.1s or Avage SSL 3.0.7 asendada mis tahes versioon, mis teil hetkel on.
OpenSSL 1.1.1s saab turvapaiga, mida kirjeldatakse kui parandamist "OpenSSL 1.1.1r-s sisse viidud regressioon [vana viga, mis ilmus uuesti], mis ei värskenda enne sertifikaadi allkirjastamist allkirjastatavaid sertifikaadi andmeid", sellel veal pole raskusastet ega CVE-d määratud...
…kuid ärge laske sellel end värskenduste tegemisest niipea kui võimalik tagasi lükata.
Avage SSL 3.0.7 saab kaks ülalloetletud CVE-numbriga kõrge raskusastmega parandust ja kuigi need ei kõla praegu nii hirmutavalt kui selle väljalaske eelsel uudistefestivalil, peaksite eeldama, et:
- Paljud ründajad saavad kiiresti aru, kuidas seda auku DoS-i eesmärkidel ära kasutada. See võib parimal juhul põhjustada töövoo häireid ja halvimal juhul küberturvalisuse probleeme, eriti kui viga saab kuritarvitada teie IT-ökosüsteemi oluliste automatiseeritud protsesside (nt värskenduste) aeglustamiseks või katkestamiseks.
- Mõnel ründajal võib olla võimalik koodi kaugkäivitamiseks nende vigade vastu vaielda. See annaks kurjategijatele hea võimaluse kasutada lõksus olevaid veebiservereid teie ettevõttes turvaliseks allalaadimiseks kasutatava klienditarkvara õõnestamiseks.
- Kui kontseptsiooni tõend (PoC) leitakse, äratab see suurt huvi. Nagu mäletate Log4Shellist, hüppasid niipea kui PoC-d avaldati, tuhanded isehakanud "teadlased" otsides Internetti ja rünnata nagu lähete, varjus "aidata" inimestel leida. probleeme nende võrkudes.
Pange tähele, et OpenSSL 1.0.2 on endiselt toetatud ja värskendatud, kuid ainult privaatselt klientidele, kes on OpenSSL-i meeskonnaga lepinguid sõlminud, mistõttu meil pole siin selle kohta muud teavet avaldada, kui kinnitada, et CVE OpenSSL 3.0 nummerdatud vead ei kehti OpenSSL 1.0.2 seeria kohta.
Võite loe edasi, ja hankige oma OpenSSL-i värskendused, alates OpenSSL-i veebisait.
Oh, ja kui PoC-d hakkavad veebis ilmuma, siis ärge olge nutikad ummikud ja hakake neid PoC-sid teiste inimeste arvutite vastu "proovima" mulje all, et "aitate" mis tahes "uuringuga".
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- krüptograafia
- CVE-2022-3602
- CVE-2022-3786
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- NexBLOC
- openssl
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- haavatavus
- haavatavus
- kodulehel turvalisus
- sephyrnet
![S3 Ep105: WONTFIX! MS Office'i krüptotõrge, mis "ei ole turvaviga" [heli + tekst] PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105: WONTFIX! MS Office'i krüptotõrge, mis \"ei ole turvaviga\" [heli + tekst]")
![S3 Ep107: Kaheksa kuud kelmide välja löömiseks ja arvate, et see on HEA? [Heli + tekst] PlatoBlockchaini andmete luure. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep107: Kaheksa kuud kelmide välja löömiseks ja arvate, et see on HEA? [Heli + tekst]")
