OpenSSL-patcher er ute – KRITISK feil nedgradert til HØY, men patch uansett!

Vi starter med de viktige tingene: de etterlengtede OpenSSL-feilrettingene som ble annonsert forrige uke er ute.

OpenSSL 1.1.1 går til versjon 1.1.1s, og retter en oppført sikkerhetsrelatert feil, men denne feilen har ikke en sikkerhetsvurdering eller et offisielt CVE-nummer.

Vi anbefaler på det sterkeste at du oppdaterer, men den KRITISKE oppdateringen som du vil ha sett i cybersikkerhetsmediene gjelder ikke for denne versjonen.

OpenSSL 3.0 går til versjon 3.0.7, og retter ikke én, men to CVE-nummererte sikkerhetsfeil som er offisielt angitt med HØY alvorlighetsgrad.

Vi anbefaler på det sterkeste at du oppdaterer, så raskt som mulig, men den KRITISKE løsningen som alle har snakket om har nå blitt nedgradert til HØY alvorlighetsgrad.

Dette gjenspeiler meningen til OpenSSL-teamet:

Forhåndskunngjøringer av CVE-2022-3602 beskrev dette problemet som KRITIKK. Ytterligere analyse basert på noen av de formildende faktorene beskrevet [i utgivelsesnotatene] har ført til at dette har blitt nedgradert til HØY. Brukere oppfordres fortsatt til å oppgradere til en ny versjon så snart som mulig.

Ironisk nok, en andre og lignende feil, dubbet CVE-2022-3786, ble oppdaget mens reparasjonen for CVE-2022-3602 ble utarbeidet.

Den opprinnelige feilen tillater bare en angriper å ødelegge fire byte på stabelen, noe som begrenser utnyttelsen av hullet, mens den andre feilen tillater et ubegrenset antall stabeloverløp, men tilsynelatende bare av "dot"-karakteren (ASCII 46, eller 0x2E ) gjentatt om og om igjen.

Begge sårbarhetene avsløres under TLS-sertifikatverifisering, der en booby-fanget klient eller server "identifiserer" seg til serveren eller klienten i den andre enden med et bevisst misformet TLS-sertifikat.

Selv om denne typen stackoverflyt (en med begrenset størrelse og den andre med begrensede dataverdier) høres ut som om de vil være vanskelige å utnytte for kodekjøring (spesielt i 64-biters programvare, der fire byte bare er halvparten av en minneadresse) …

...de er nesten sikre på at de lett kan utnyttes for DoS (denial of service)-angrep, der avsenderen av et useriøst sertifikat kan krasje mottakeren av det sertifikatet etter eget ønske.

Heldigvis involverer de fleste TLS-utvekslinger at klienter bekrefter serversertifikater, og ikke omvendt.

De fleste nettservere, for eksempel, krever ikke at besøkende identifiserer seg med et sertifikat før de lar dem lese nettstedet, så "krasjretningen" til alle fungerende utnyttelser vil sannsynligvis være useriøse servere som krasjer ulykkelige besøkende, noe som generelt anses som mye mindre alvorlig enn servere som krasjer hver gang de er gjennomsøkt av en enkelt useriøs besøkende.

Ikke desto mindre må enhver teknikk som en hacket nett- eller e-postserver uten grunn kan krasje en besøkende nettleser eller e-postapp anses som farlig, ikke minst fordi ethvert forsøk fra klientprogramvaren på å prøve tilkoblingen på nytt vil resultere i at appen krasjer igjen og igjen og igjen en gang til.

Du vil derfor definitivt lapp mot dette så snart du kan.

Hva gjør jeg?

Som nevnt ovenfor, trenger du OpenSSL 1.1.1s or Åpne SSL 3.0.7 for å erstatte hvilken versjon du har for øyeblikket.

OpenSSL 1.1.1s får en sikkerhetsoppdatering beskrevet som fiksing "en regresjon [en gammel feil som dukket opp igjen] introdusert i OpenSSL 1.1.1r som ikke oppdaterer sertifikatdataene som skal signeres før sertifikatet signeres", den feilen har ikke en alvorlighetsgrad eller en CVE tilordnet den...

…men ikke la det hindre deg i å oppdatere så snart du kan.

Åpne SSL 3.0.7 får de to CVE-nummererte HIGH-alvorlighetsrettelsene som er oppført ovenfor, og selv om de ikke høres fullt så skumle ut nå som de gjorde i nyhetsfesten før denne utgivelsen, bør du anta at:

• Mange angripere vil raskt finne ut hvordan de kan utnytte disse hullene til DoS-formål. Det kan i beste fall føre til forstyrrelser i arbeidsflyten, og i verste fall problemer med cybersikkerhet, spesielt hvis feilen kan misbrukes til å bremse eller bryte viktige automatiserte prosesser (som oppdateringer) i IT-økosystemet ditt.
• Noen angripere kan være i stand til å krangle disse feilene for ekstern kjøring av kode. Dette vil gi kriminelle en god sjanse til å bruke booby-fangede webservere for å undergrave klientprogramvare som brukes til sikre nedlastinger i din egen virksomhet.
• Hvis et proof-of-concept (PoC) blir funnet, vil det tiltrekke seg stor interesse. Som du vil huske fra Log4Shell, så snart PoCs ble publisert, hoppet tusenvis av selverklærte "forskere" på scan-the-internet-and-attack-as-you-go-vognen under dekke av å "hjelpe" folk med å finne problemer på deres nettverk.

Merk at OpenSSL 1.0.2 fortsatt støttes og oppdateres, men kun privat, for kunder som har betalt kontrakter med OpenSSL-teamet, og det er derfor vi ikke har noen informasjon å avsløre om det her, annet enn å bekrefte at CVE -nummererte feil i OpenSSL 3.0 gjelder ikke for OpenSSL 1.0.2-serien.

Du kan Les mer, og få din OpenSSL-oppdateringer, fra OpenSSL nettsted.

Åh, og hvis PoC-er begynner å dukke opp på nettet, vær så snill og ikke vær en smart tresko og begynn å "prøve" disse PoC-ene mot andres datamaskiner under inntrykk av at du "hjelper" med noen form for "forskning".

---