OpenSSL-korjauspäivitykset ovat ulkona – KRIITTINEN bugi alennettu tasoon HIGH, mutta korjaus kuitenkin!

Aloitamme tärkeistä asioista: kauan odotetuista OpenSSL-virheenkorjauksista, jotka julkistettiin viime viikolla ovat ulkona.

OpenSSL 1.1.1 menee käyttöön versio 1.1.1s, ja korjaa yhden listatun tietoturvavirheen, mutta tällä bugilla ei ole suojausluokitusta tai virallista CVE-numeroa.

Suosittelemme, että päivität, mutta KRIITTINEN päivitys, jonka olet nähnyt kyberturvallisuusmediassa, ei koske tätä versiota.

OpenSSL 3.0 menee käyttöön version 3.0.7, ja korjaa ei yhden vaan kaksi CVE-numeroitua tietoturvavirhettä, jotka on virallisesti määritelty KORKEAN vakavuuden mukaan.

Suosittelemme, että päivität niin nopeasti kuin pystyt, mutta KRIITTINEN korjaus, josta kaikki ovat puhuneet, on nyt alennettu vakavuusasteeseen KORKEA.

Tämä kuvastaa OpenSSL-tiimin mielipidettä:

Ennakkoilmoitukset CVE-2022-3602 kuvaili tätä ongelmaa KRIITTISEKSI. Lisäanalyysit, jotka perustuvat joihinkin [julkaisutiedoissa] kuvattuihin lieventäviin tekijöihin, ovat johtaneet sen alentamiseen HIGH:ksi. Käyttäjiä kehotetaan silti päivittämään uuteen versioon mahdollisimman pian.

Ironista kyllä, toinen ja samanlainen bugi, dubattu CVE-2022-3786, löydettiin CVE-2022-3602:n korjausta valmisteltaessa.

Alkuperäinen bugi sallii hyökkääjän korruptoida vain neljä tavua pinossa, mikä rajoittaa reiän hyödynnettävyyttä, kun taas toinen bugi sallii rajattoman määrän pinon ylivuotoa, mutta ilmeisesti vain "piste"-merkkiä (ASCII 46 tai 0x2E ) toistetaan yhä uudelleen ja uudelleen.

Molemmat haavoittuvuudet paljastuvat TLS-varmenteen tarkistuksen aikana, jolloin ansaan jäänyt asiakas tai palvelin "tunnistuu" toisessa päässä olevalle palvelimelle tai asiakkaalle tarkoituksella väärin muotoillulla TLS-varmenteella.

Vaikka tällaiset pinon ylivuoto (toinen kooltaan rajoitettu ja toinen rajoitettujen tietoarvojen) kuulostaa siltä, ​​että niitä olisi vaikea hyödyntää koodin suorittamiseen (etenkin 64-bittisissä ohjelmistoissa, joissa neljä tavua on vain puolet muistiosoitteesta) …

…ne ovat lähes varmasti helposti hyödynnettävissä DoS-hyökkäyksissä (service denial of service) -hyökkäyksissä, joissa petollisen varmenteen lähettäjä voi kaataa varmenteen vastaanottajan halutessaan.

Onneksi useimmat TLS-vaihdot sisältävät asiakkaita, jotka vahvistavat palvelinvarmenteita, eikä päinvastoin.

Useimmat verkkopalvelimet eivät esimerkiksi vaadi vierailijoiden tunnistautumista varmenteen avulla ennen kuin he voivat lukea sivustoa, joten kaikkien toimivien hyväksikäyttöjen "kaatumissuunta" on todennäköisesti roistopalvelimet, jotka kaatuvat onnettomiin vierailijoihin, mitä pidetään yleisesti. paljon lievempiä kuin palvelimet, jotka kaatuvat joka kerta, kun yksi kelvollinen vierailija selaa niitä.

Kaikenlaista tekniikkaa, jolla hakkeroitu verkko- tai sähköpostipalvelin voi kaataa vierailevan selaimen tai sähköpostisovelluksen, on kuitenkin pidettävä vaarallisena, varsinkin siksi, että asiakasohjelmiston yritys yrittää muodostaa yhteyttä uudelleen johtaa sovelluksen kaatumiseen yhä uudelleen ja uudelleen. uudelleen.

Siksi haluat ehdottomasti korjaa tätä vastaan ​​niin pian kuin voit.

Mitä tehdä?

Kuten edellä mainittiin, tarvitset OpenSSL 1.1.1s or Avaa SSL 3.0.7 korvaamaan minkä tahansa version, joka sinulla on tällä hetkellä.

OpenSSL 1.1.1s saa suojauskorjauksen, joka on kuvattu korjaavaksi "Regressio [vanha bugi, joka ilmestyi uudelleen] OpenSSL 1.1.1r:ssä, joka ei päivitä allekirjoitettavia varmennetietoja ennen varmenteen allekirjoittamista", tälle bugille ei ole määritetty vakavuutta tai CVE:tä…

…mutta älä anna sen estää sinua päivittämästä niin pian kuin voit.

Avaa SSL 3.0.7 saa kaksi yllä lueteltua CVE-numeroitua HIGH-vakavuuskorjausta, ja vaikka ne eivät nyt kuulostakaan niin pelottavilta kuin tätä julkaisua edeltäneessä uutisfestivaalissa, sinun pitäisi olettaa, että:

• Monet hyökkääjät ymmärtävät nopeasti, kuinka näitä aukkoja voidaan hyödyntää DoS-tarkoituksiin. Se voi parhaimmillaan aiheuttaa työnkulun häiriöitä ja pahimmillaan kyberturvallisuusongelmia, varsinkin jos virhettä voidaan käyttää väärin IT-ekosysteemin tärkeiden automatisoitujen prosessien (kuten päivitysten) hidastamiseen tai rikkomiseen.
• Jotkut hyökkääjät saattavat pystyä ratkaisemaan nämä viat koodin etäsuorittamisen yhteydessä. Tämä antaisi rikollisille hyvät mahdollisuudet käyttää loukkuun jääneitä verkkopalvelimia oman yrityksesi turvallisiin latauksiin käytettyjen asiakasohjelmistojen kaappaamiseen.
• Jos proof-of-concept (PoC) löytyy, se herättää suurta kiinnostusta. Kuten muistat Log4Shellistä, heti kun PoC:t julkaistiin, tuhannet itseään "tutkijat" hyppäsivät skannaa-internet-ja-hyökkäys-as-you-go -kelkkaan "auttaen" ihmisiä löytämään. ongelmia verkoissaan.

Huomaa, että OpenSSL 1.0.2 on edelleen tuettu ja päivitetty, mutta vain yksityisesti asiakkaille, jotka ovat maksaneet sopimukset OpenSSL-tiimin kanssa, minkä vuoksi meillä ei ole täällä paljastettavaa siitä mitään muuta tietoa kuin vahvistaa, että CVE -numeroidut virheet OpenSSL 3.0:ssa eivät koske OpenSSL 1.0.2 -sarjaa.

Sinä pystyt Lue lisää, ja hanki omasi OpenSSL-päivitykset, Alkaen OpenSSL-verkkosivusto.

Ai, ja jos PoC:t alkavat ilmestyä verkossa, älä ole fiksu tukki ja ala "kokeilla" niitä muiden ihmisten tietokoneita vastaan ​​siinä vaikutelmassa, että "autat" kaikenlaisessa "tutkimuksessa".

---