Megjelent az OpenSSL javítások – KRITIKUS hiba HIGH-ra csökkentve, de javítsd meg!

Kezdjük a fontos dolgokkal: a múlt héten bejelentett, várva várt OpenSSL hibajavításokkal kint vannak.

OpenSSL 1.1.1 goes to version 1.1.1s, és kijavít egy felsorolt, biztonsággal kapcsolatos hibát, de ennek a hibának nincs biztonsági besorolása vagy hivatalos CVE-száma.

Erősen javasoljuk, hogy frissítse, de a KRITIKUS frissítés, amelyet a kiberbiztonsági adathordozókon látott, erre a verzióra nem vonatkozik.

OpenSSL 3.0 goes to 3.0.7 verzió, és nem egy, hanem két CVE-számú biztonsági hibát javít ki, amelyeket hivatalosan NAGY súlyosságra jelöltek ki.

Nyomatékosan javasoljuk, hogy a lehető legsürgősebben frissítse, de a KRITIKUS javítás, amelyről mindenki beszélt, most NAGY súlyosságra csökkent.

This reflects the opinion of the OpenSSL team:

Pre-announcements of CVE-2022 3602- ezt a problémát KRITIKUSNAK minősítette. A [kibocsátási megjegyzésekben] leírt egyes enyhítő tényezőkön alapuló további elemzések azt eredményezték, hogy ezt HIGH-ra csökkentették. A felhasználókat továbbra is arra biztatjuk, hogy a lehető leghamarabb frissítsenek egy új verzióra.

Ironically, a second and similar bug, dubbed CVE-2022 3786-, was discovered while the fix for CVE-2022-3602 was being prepared.

Az eredeti hiba csak négy bájtot tesz lehetővé a támadónak a veremben, ami korlátozza a lyuk kihasználhatóságát, míg a második hiba korlátlan számú veremtúlcsordulást tesz lehetővé, de látszólag csak a „pont” karaktert (ASCII 46 vagy 0x2E) ) ismételgetve újra és újra.

Both vulnerabilities are exposed during TLS certificate verification, where a booby-trapped client or server “identifies” itself to the server or client at the other end with a deliberately malformed TLS certificate.

Bár az ilyen típusú veremtúlcsordulás (az egyik korlátozott méretű, a másik korlátozott adatértékű) úgy hangzik, mintha nehéz lenne kódvégrehajtásra kihasználni (különösen a 64 bites szoftverekben, ahol négy bájt csak a memóriacím fele). …

…szinte biztos, hogy könnyen kihasználhatók DoS (szolgáltatásmegtagadási) támadásokra, ahol a csaló tanúsítvány küldője tetszés szerint összeomolhatja a tanúsítvány címzettjét.

Szerencsére a legtöbb TLS-csere során az ügyfelek ellenőrzik a szervertanúsítványokat, és nem fordítva.

Most web servers, for instance, don’t require visitors to identify themselves with a certificate before allowing them to read the site, so the “crash direction” of any working exploits is likely to be rogue servers crashing hapless visitors, which is generally considered much less severe than servers crashing every time they’re browsed to by a single rogue visitor.

Nevertheless, any technique by which a hacked web or email server can gratuitously crash a visiting browser or email app must be considered dangerous, not least because any attempt by the client software to retry the connection will result in the app crashing over and over and over again.

You therefore definitely want to foltozzon ez ellen, amint lehet.

Mit kell tenni?

As mentioned above, you need OpenSSL 1.1.1s or Nyissa meg az SSL 3.0.7-t to replace whatever version you have at the moment.

OpenSSL 1.1.1s javítóként leírt biztonsági javítást kap "egy regresszió [egy régi hiba, amely újra megjelent] az OpenSSL 1.1.1r-ben bevezetett, amely nem frissíti az aláírandó tanúsítványadatokat a tanúsítvány aláírása előtt", ennek a hibának nincs hozzárendelve súlyossága vagy CVE-je…

…de ez ne tántorítsa el a frissítéstől, amilyen hamar csak lehet.

Nyissa meg az SSL 3.0.7-t megkapja a fent felsorolt ​​két CVE-számú, HIGH-Severity javítást, és bár ezek most nem hangzanak annyira ijesztően, mint a kiadás előtti hírfesztiválon, feltételeznünk kell, hogy:

• Many attackers will quickly figure out how to exploit these hole for DoS purposes. Ez a legjobb esetben a munkafolyamat megszakítását, legrosszabb esetben pedig kiberbiztonsági problémákat okozhat, különösen akkor, ha a hibával visszaélve lelassíthatják vagy megszakíthatják az IT-ökoszisztéma fontos automatizált folyamatait (például frissítéseket).
• Előfordulhat, hogy egyes támadók ezeket a hibákat távoli kódvégrehajtáshoz tudják megoldani. Ez jó esélyt adna a bűnözőknek arra, hogy csapdába esett webszervereket használjanak a biztonságos letöltésekhez használt kliensszoftverek felforgatására a saját vállalkozásában.
• Ha valóban találnak egy proof-of-concept-ot (PoC), az óriási érdeklődést fog felkelteni. Amint a Log4Shellből emlékszel, amint megjelentek a PoC-k, önjelölt „kutatók” ezrei ugrottak rá az interneten átkutatva és támadva-a-you-go-ban, azzal az álcával, hogy „segítenek” az embereknek megtalálni. problémák a hálózatukon.

Vegye figyelembe, hogy az OpenSSL 1.0.2 továbbra is támogatott és frissített, de csak privát módon, azon ügyfelek számára, akik fizetett szerződést kötöttek az OpenSSL csapattal, ezért nincs más információnk, amelyet itt közzétennénk, azon kívül, hogy megerősítjük, hogy a CVE Az OpenSSL 3.0 számozott hibái nem vonatkoznak az OpenSSL 1.0.2 sorozatra.

Tudod Klikk ide, és szerezze meg a sajátját OpenSSL updates, tól OpenSSL website.

Ó, és ha a PoC-k elkezdenek megjelenni az interneten, ne légy okos dugulás, és kezdd el "kipróbálni" ezeket a PoC-kat mások számítógépein, abban a benyomásban, hogy "segítesz" bármilyen "kutatásban".

---