Tambalan OpenSSL sudah keluar – bug KRITIS diturunkan ke TINGGI, tetapi tetap tambal!

Kami akan mulai dengan hal-hal penting: perbaikan bug OpenSSL yang ditunggu-tunggu diumumkan minggu lalu keluar.

OpenSSL 1.1.1 pergi ke versi 1.1.1s, dan menambal satu bug terkait keamanan yang terdaftar, tetapi bug ini tidak memiliki peringkat keamanan atau nomor CVE resmi.

Kami sangat menyarankan Anda memperbarui, tetapi pembaruan KRITIS yang akan Anda lihat di media keamanan siber tidak berlaku untuk versi ini.

OpenSSL 3.0 pergi ke versi 3.0.7, dan menambal bukan hanya satu tetapi dua bug keamanan bernomor CVE yang secara resmi ditetapkan dengan tingkat keparahan TINGGI.

Kami sangat menyarankan Anda memperbarui, dengan urgensi sebanyak yang Anda bisa kumpulkan, tetapi perbaikan KRITIS yang telah dibicarakan semua orang kini telah diturunkan ke tingkat keparahan TINGGI.

Ini mencerminkan pendapat tim OpenSSL:

Pra-pengumuman dari CVE-2022-3602 menggambarkan masalah ini sebagai KRITIS. Analisis lebih lanjut berdasarkan beberapa faktor mitigasi yang dijelaskan [dalam catatan rilis] telah menyebabkan ini diturunkan ke TINGGI. Pengguna masih didorong untuk meningkatkan ke versi baru sesegera mungkin.

Ironisnya, bug kedua dan serupa, dijuluki CVE-2022-3786, ditemukan saat perbaikan untuk CVE-2022-3602 sedang dipersiapkan.

Bug asli hanya memungkinkan penyerang untuk merusak empat byte pada tumpukan, yang membatasi eksploitasi lubang, sedangkan bug kedua memungkinkan jumlah stack overflow yang tidak terbatas, tetapi tampaknya hanya karakter "titik" (ASCII 46, atau 0x2E ) berulang-ulang.

Kedua kerentanan diekspos selama verifikasi sertifikat TLS, di mana klien atau server yang dijebak jebakan "mengidentifikasi" dirinya sendiri ke server atau klien di ujung lain dengan sertifikat TLS yang sengaja diubah bentuknya.

Meskipun stack overflow semacam ini (satu dengan ukuran terbatas dan yang lainnya dengan nilai data terbatas) terdengar seolah-olah mereka akan sulit dieksploitasi untuk eksekusi kode (terutama dalam perangkat lunak 64-bit, di mana empat byte hanya setengah dari alamat memori) …

…mereka hampir pasti dapat dengan mudah dieksploitasi untuk serangan DoS (denial of service), di mana pengirim sertifikat jahat dapat merusak penerima sertifikat itu sesuka hati.

Untungnya, sebagian besar pertukaran TLS melibatkan klien yang memverifikasi sertifikat server, dan bukan sebaliknya.

Sebagian besar server web, misalnya, tidak mengharuskan pengunjung untuk mengidentifikasi diri mereka dengan sertifikat sebelum mengizinkan mereka membaca situs, sehingga "arah mogok" dari setiap eksploitasi yang berfungsi kemungkinan besar adalah server jahat yang menabrak pengunjung yang malang, yang umumnya dianggap jauh lebih parah daripada server yang mogok setiap kali mereka dijelajahi oleh satu pengunjung jahat.

Namun demikian, teknik apa pun di mana web atau server email yang diretas dapat secara serampangan merusak browser atau aplikasi email yang sedang dikunjungi harus dianggap berbahaya, paling tidak karena upaya apa pun oleh perangkat lunak klien untuk mencoba kembali koneksi akan mengakibatkan aplikasi mogok berulang kali. lagi.

Karena itu Anda pasti ingin tambal ini sesegera mungkin.

Apa yang harus dilakukan?

Seperti disebutkan di atas, Anda perlu OpenSSL 1.1.1s or Buka SSL 3.0.7 untuk mengganti versi apa pun yang Anda miliki saat ini.

OpenSSL 1.1.1s mendapat tambalan keamanan yang digambarkan sebagai perbaikan “regresi [bug lama yang muncul kembali] yang diperkenalkan di OpenSSL 1.1.1r tidak menyegarkan data sertifikat yang akan ditandatangani sebelum menandatangani sertifikat”, bug itu tidak memiliki tingkat keparahan atau CVE yang ditetapkan untuknya…

…tapi jangan biarkan hal itu membuat Anda menunda pembaruan sesegera mungkin.

Buka SSL 3.0.7 mendapatkan dua perbaikan tingkat keparahan TINGGI bernomor CVE yang tercantum di atas, dan meskipun itu tidak terdengar menakutkan sekarang seperti yang mereka lakukan di festival berita menjelang rilis ini, Anda harus berasumsi bahwa:

• Banyak penyerang akan segera mencari cara untuk mengeksploitasi lubang ini untuk tujuan DoS. Itu dapat menyebabkan gangguan alur kerja, dan masalah keamanan siber paling buruk, terutama jika bug dapat disalahgunakan untuk memperlambat atau merusak proses otomatis penting (seperti pembaruan) di ekosistem TI Anda.
• Beberapa penyerang mungkin dapat mengatasi bug ini untuk eksekusi kode jarak jauh. Ini akan memberikan peluang bagus bagi penjahat untuk menggunakan server web jebakan untuk menumbangkan perangkat lunak klien yang digunakan untuk unduhan aman di bisnis Anda sendiri.
• Jika bukti konsep (PoC) ditemukan, itu akan menarik minat besar. Seperti yang akan Anda ingat dari Log4Shell, segera setelah PoC diterbitkan, ribuan "peneliti" yang memproklamirkan diri melompat pada kereta musik scan-the-internet-and-attack-as-you-go dengan kedok "membantu" orang menemukan masalah pada jaringan mereka.

Perhatikan bahwa OpenSSL 1.0.2 masih didukung dan diperbarui, tetapi hanya secara pribadi, untuk pelanggan yang telah membayar kontrak dengan tim OpenSSL, itulah sebabnya kami tidak memiliki informasi apa pun untuk diungkapkan di sini, selain untuk mengonfirmasi bahwa CVE -nomor bug di OpenSSL 3.0 tidak berlaku untuk seri OpenSSL 1.0.2.

Anda dapat Baca lebih banyak, dan dapatkan Pembaruan OpenSSL, Dari Situs web OpenSSL.

Oh, dan jika PoC mulai muncul secara online, tolong jangan menjadi orang yang pandai menyumbat dan mulailah "mencoba" PoC tersebut terhadap komputer orang lain dengan kesan bahwa Anda "membantu" dengan "penelitian" apa pun.

---