Le patch OpenSSL sono uscite: bug CRITICO declassato a HIGH, ma patch comunque!

Inizieremo con le cose importanti: le tanto attese correzioni dei bug OpenSSL annunciate la scorsa settimana sono fuori.

OpenSSL 1.1.1 va a versione 1.1.1se corregge uno dei bug relativi alla sicurezza elencati, ma questo bug non ha una valutazione di sicurezza o un numero CVE ufficiale.

Ti consigliamo vivamente di aggiornare, ma l'aggiornamento CRITICO che avrai visto nei media sulla sicurezza informatica non si applica a questa versione.

OpenSSL 3.0 va a Versione 3.0.7e corregge non uno ma due bug di sicurezza con numero CVE ufficialmente designati con gravità ALTA.

Ti consigliamo vivamente di aggiornare, con tutta l'urgenza possibile, ma la correzione CRITICA di cui tutti hanno parlato è stata ora declassata a gravità ALTA.

Ciò riflette l'opinione del team OpenSSL:

Pre-annunci di CVE-2022-3602 ha descritto questo problema come CRITICO. Ulteriori analisi basate su alcuni dei fattori attenuanti descritti [nelle note di rilascio] hanno portato a declassare questo livello a ALTO. Gli utenti sono comunque incoraggiati ad eseguire l'aggiornamento a una nuova versione il prima possibile.

Ironicamente, un secondo e simile bug, soprannominato CVE-2022-3786, è stato scoperto mentre veniva preparata la correzione per CVE-2022-3602.

Il bug originale consente a un utente malintenzionato di corrompere solo quattro byte nello stack, il che limita la sfruttabilità del buco, mentre il secondo bug consente una quantità illimitata di stack overflow, ma apparentemente solo del carattere "punto" (ASCII 46, o 0x2E ) ripetuto più e più volte.

Entrambe le vulnerabilità vengono esposte durante la verifica del certificato TLS, in cui un client o un server con trappole esplosive si "identifica" nel server o client all'altra estremità con un certificato TLS deliberatamente malformato.

Sebbene questi tipi di stack overflow (uno di dimensioni limitate e l'altro di valori di dati limitati) sembrino difficili da sfruttare per l'esecuzione del codice (specialmente nel software a 64 bit, dove quattro byte sono solo la metà di un indirizzo di memoria) …

…sono quasi certamente facilmente sfruttabili per attacchi DoS (Denial of Service), in cui il mittente di un certificato non autorizzato potrebbe mandare in crash il destinatario di quel certificato a piacimento.

Fortunatamente, la maggior parte degli scambi TLS coinvolge i client che verificano i certificati del server e non viceversa.

La maggior parte dei server web, ad esempio, non richiede ai visitatori di identificarsi con un certificato prima di consentire loro di leggere il sito, quindi la "direzione del crash" di qualsiasi exploit funzionante è probabile che i server non autorizzati facciano crashare i visitatori sfortunati, cosa generalmente considerata molto meno grave del crash dei server ogni volta che vengono visitati da un singolo visitatore non autorizzato.

Tuttavia, qualsiasi tecnica con la quale un server Web o di posta elettronica violato può bloccare gratuitamente un browser o un'app di posta elettronica in visita deve essere considerata pericolosa, anche perché qualsiasi tentativo da parte del software client di riprovare la connessione comporterà l'arresto anomalo dell'app più e più volte. Ancora.

Quindi lo vuoi assolutamente risolvi questo problema il prima possibile.

Cosa fare?

Come accennato in precedenza, è necessario OpenSSL 1.1.1s or OpenSSL 3.0.7 per sostituire qualunque versione tu abbia al momento.

OpenSSL 1.1.1s ottiene una patch di sicurezza descritta come correzione “una regressione [un vecchio bug che è riapparso] introdotta in OpenSSL 1.1.1r che non aggiorna i dati del certificato da firmare prima di firmare il certificato”, a quel bug non è stata assegnata una gravità o un CVE...

…ma non lasciarti scoraggiare dall'aggiornare il prima possibile.

OpenSSL 3.0.7 ottiene le due correzioni di gravità ALTA con numero CVE elencate sopra, e anche se ora non sembrano così spaventose come nella festa delle notizie che ha preceduto questo rilascio, dovresti presumere che:

• Molti aggressori capiranno rapidamente come sfruttare queste falle per scopi DoS. Ciò potrebbe causare, nella migliore delle ipotesi, un’interruzione del flusso di lavoro e, nel peggiore, problemi di sicurezza informatica, soprattutto se si può abusare del bug per rallentare o interrompere importanti processi automatizzati (come gli aggiornamenti) nel proprio ecosistema IT.
• Alcuni aggressori potrebbero essere in grado di risolvere questi bug per l'esecuzione di codice in modalità remota. Ciò offrirebbe ai criminali buone possibilità di utilizzare server Web contenenti trappole esplosive per sovvertire il software client utilizzato per download sicuri nella propria attività.
• Se una prova di concetto (PoC) viene trovata, susciterà un enorme interesse. Come ricorderete da Log4Shell, non appena i PoC furono pubblicati, migliaia di autoproclamati "ricercatori" saltarono sul carrozzone "scansiona Internet e attacca mentre vai" con il pretesto di "aiutare" le persone a trovare problemi sulle loro reti.

Tieni presente che OpenSSL 1.0.2 è ancora supportato e aggiornato, ma solo privatamente, per i clienti che hanno pagato contratti con il team OpenSSL, motivo per cui non abbiamo alcuna informazione da divulgare qui al riguardo, se non per confermare che il CVE I bug numerati in OpenSSL 3.0 non si applicano alla serie OpenSSL 1.0.2.

Puoi leggi di più, e prendi il tuo Aggiornamenti OpenSSL, dal Sito Web OpenSSL.

Oh, e se i PoC iniziano a comparire online, per favore non fare il furbo e non iniziare a "provare" quei PoC contro i computer di altre persone con l'impressione che stai "aiutando" con qualsiasi tipo di "ricerca".

---