重要なことから始めましょう: 先週発表された、広く待ち望まれていた OpenSSL のバグ修正です。 外出中.
OpenSSL 1.1.1 は バージョン 1.1.1s、リストされているセキュリティ関連のバグの XNUMX つにパッチを適用しますが、このバグにはセキュリティ レーティングや公式の CVE 番号がありません。
更新することを強くお勧めしますが、サイバーセキュリティ メディアで見られる重要な更新は、このバージョンには適用されません。
OpenSSL 3.0 は バージョン3.0.7、公式に高重大度に指定されている XNUMX つではなく XNUMX つの CVE 番号のセキュリティ バグにパッチを適用します。
できる限り緊急に更新することを強くお勧めしますが、誰もが話していた CRITICAL 修正は現在、重大度が HIGH に格下げされています。
これは、OpenSSL チームの意見を反映しています。
の事前発表 CVE-2022-3602 この問題は重大であると説明しました。 [リリース ノート] に記載されている緩和要因のいくつかに基づく詳細な分析により、これは HIGH に格下げされました。 ユーザーは、できるだけ早く新しいバージョンにアップグレードすることを引き続きお勧めします。
皮肉なことに、ダビングされた XNUMX 番目の同様のバグ CVE-2022-3786、CVE-2022-3602 の修正の準備中に発見されました。
元のバグでは、攻撃者がスタック上の 46 バイトを破損することしかできないため、ホールの悪用可能性が制限されます。0 番目のバグでは、無制限にスタック オーバーフローが許可されますが、明らかに「ドット」文字 (ASCII 2、または XNUMXxXNUMXE) のみが許可されます。 ) 何度も繰り返します。
両方の脆弱性は、TLS 証明書の検証中に公開されます。この検証では、ブービー トラップされたクライアントまたはサーバーが、故意に不正な形式の TLS 証明書を使用して、相手側のサーバーまたはクライアントに対して自分自身を「識別」します。
これらの種類のスタック オーバーフロー (64 つはサイズが制限され、もう XNUMX つはデータ値が制限されている) は、コードの実行に悪用するのが難しいように思えますが (特に、XNUMX バイトがメモリ アドレスの半分にすぎない XNUMX ビット ソフトウェアでは)。 …
…それらは DoS (サービス拒否) 攻撃に容易に悪用されることはほぼ確実であり、不正な証明書の送信者がその証明書の受信者を意のままにクラッシュさせる可能性があります。
幸いなことに、ほとんどの TLS 交換にはクライアントがサーバー証明書を検証することが含まれており、その逆はありません。
たとえば、ほとんどの Web サーバーでは、サイトの読み取りを許可する前に、訪問者が証明書で身元を確認する必要はありません。そのため、機能するエクスプロイトの「クラッシュ方向」は、不運な訪問者をクラッシュさせる不正なサーバーである可能性が高く、これは一般的に考えられています。サーバーが XNUMX 人の不正な訪問者によってブラウズされるたびにクラッシュするよりもはるかに深刻ではありません。
それにもかかわらず、ハッキングされた Web サーバーまたは電子メール サーバーが訪問中のブラウザーまたは電子メール アプリを不当にクラッシュさせることができる手法は危険であると見なす必要があります。特に、クライアント ソフトウェアが接続を再試行しようとすると、アプリが何度も何度もクラッシュしますまた。
したがって、あなたは間違いなくしたいです できるだけ早くこれにパッチを当てる.
何をするか?
上記のように、あなたは必要です OpenSSL 1.1.1s or SSL3.0.7を開きます 現時点で使用しているバージョンを置き換えます。
OpenSSL 1.1.1s 修正と記載されているセキュリティ パッチを取得する 「OpenSSL 1.1.1r で導入されたリグレッション [再発した古いバグ] が、証明書に署名する前に署名対象の証明書データを更新しない」、そのバグには重大度や CVE が割り当てられていません…
…しかし、できるだけ早く更新することを先延ばしにしないでください。
SSL3.0.7を開きます 上記の XNUMX つの CVE 番号付きの深刻度の高い修正を取得します。このリリースに至るまでのニュースフェストで見られたほど恐ろしいものではありませんが、次のことを想定する必要があります。
- 多くの攻撃者は、DoS 目的でこれらの穴を悪用する方法をすぐに見つけ出します。 これは、特にバグが悪用されて IT エコシステム内の重要な自動化プロセス (更新など) が遅くなったり壊れたりする可能性がある場合、ワークフローの混乱を引き起こし、最悪の場合はサイバーセキュリティの問題を引き起こす可能性があります。
- 一部の攻撃者は、これらのバグを悪用してリモートでコードを実行できる可能性があります。 これにより、犯罪者はブービー トラップ Web サーバーを使用して、ビジネスで安全にダウンロードするために使用されるクライアント ソフトウェアを破壊する可能性が高くなります。
- 概念実証 (PoC) が見つかれば、大きな関心を集めるでしょう。 Log4Shell から覚えているように、PoC が公開されるやいなや、何千人もの自称「研究者」が、人々が発見するのを「支援する」という装いの下で、インターネットをスキャンして随時攻撃するという時流に飛び乗りました。ネットワーク上の問題。
OpenSSL 1.0.2 は引き続きサポートおよび更新されますが、OpenSSL チームとの契約を支払った顧客に対してのみ非公開でのみ提供されることに注意してください。 -OpenSSL 3.0 の番号付きのバグは、OpenSSL 1.0.2 シリーズには適用されません。
また、ご購読はいつでも停止することが可能です 続きを読む、そしてあなたの OpenSSL の更新、 から OpenSSLWebサイト.
ああ、PoC がオンラインに現れ始めた場合は、頭の悪い人にならずに、何らかの「研究」を「手伝っている」という印象の下で、他の人のコンピューターに対してそれらの PoC を「試してみる」ことから始めてください。
![S3 Ep100: Browser-in-the-Browser – 攻撃を検出する方法 [オーディオ + テキスト] PlatoBlockchain Data Intelligence. 垂直検索。 あい。](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep100-js-1200-2-300x156.png "S3 Ep100: Browser-in-the-Browser – 攻撃の見分け方 [オーディオ + テキスト]")
