Łatki OpenSSL są niedostępne – błąd CRITICAL został zdegradowany do poziomu WYSOKI, ale i tak należy go łatać!

Zaczniemy od ważnych rzeczy: długo oczekiwanych poprawek błędów OpenSSL ogłoszonych w zeszłym tygodniu są wyłączone.

OpenSSL 1.1.1 idzie do wersja 1.1.1si łata jeden wymieniony błąd związany z bezpieczeństwem, ale ten błąd nie ma oceny bezpieczeństwa ani oficjalnego numeru CVE.

Zdecydowanie zalecamy aktualizację, ale aktualizacja KRYTYCZNA, którą zobaczysz na nośniku cyberbezpieczeństwa, nie dotyczy tej wersji.

OpenSSL 3.0 idzie do wersja 3.0.7i łata nie jeden, ale dwa błędy bezpieczeństwa o numerach CVE, które są oficjalnie oznaczone jako WYSOKA istotność.

Zdecydowanie zalecamy aktualizację tak szybko, jak tylko możesz, ale poprawka KRYTYCZNA, o której wszyscy mówili, została teraz obniżona do ważności WYSOKIEJ.

Odzwierciedla to opinię zespołu OpenSSL:

Zapowiedzi CVE-2022-3602 opisał ten problem jako KRYTYCZNY. Dalsza analiza oparta na niektórych czynnikach łagodzących opisanych [w informacjach o wydaniu] doprowadziła do obniżenia oceny do WYSOKIEGO. Zachęcamy użytkowników do jak najszybszego uaktualnienia do nowej wersji.

Jak na ironię, drugi i podobny błąd, dubbing CVE-2022-3786, został wykryty podczas przygotowywania poprawki dla CVE-2022-3602.

Pierwotny błąd pozwala atakującemu tylko na uszkodzenie czterech bajtów na stosie, co ogranicza możliwość wykorzystania dziury, podczas gdy drugi błąd pozwala na nieograniczoną ilość przepełnienia stosu, ale najwyraźniej tylko znaku „kropki” (ASCII 46 lub 0x2E ) powtarzane w kółko.

Obie luki są ujawniane podczas weryfikacji certyfikatu TLS, gdzie klient lub serwer z pułapką „identyfikuje się” na serwerze lub kliencie po drugiej stronie za pomocą celowo zniekształconego certyfikatu TLS.

Chociaż tego rodzaju przepełnienie stosu (jeden o ograniczonym rozmiarze, a drugi o ograniczonych wartościach danych) brzmi tak, jakby trudno było je wykorzystać do wykonania kodu (szczególnie w oprogramowaniu 64-bitowym, gdzie cztery bajty to tylko połowa adresu pamięci) …

…jest prawie pewne, że można je łatwo wykorzystać do ataków DoS (odmowa usługi), w których nadawca fałszywego certyfikatu może w dowolnej chwili zawiesić odbiorcę tego certyfikatu.

Na szczęście większość giełd TLS obejmuje klientów weryfikujących certyfikaty serwerów, a nie odwrotnie.

Na przykład większość serwerów internetowych nie wymaga od odwiedzających, aby identyfikowali się za pomocą certyfikatu przed umożliwieniem im zapoznania się z witryną, więc „kierunkiem awarii” wszelkich działających exploitów mogą być nieuczciwe serwery, które powodują awarię nieszczęsnych gości, co jest powszechnie uważane znacznie mniej poważne niż awarie serwerów za każdym razem, gdy są przeglądane przez jednego nieuczciwego gościa.

Niemniej jednak każda technika, dzięki której zhakowany serwer sieciowy lub e-mail może przypadkowo spowodować awarię odwiedzającej przeglądarki lub aplikacji poczty e-mail, musi być uważana za niebezpieczną, nie tylko dlatego, że każda próba ponownego nawiązania połączenia przez oprogramowanie klienckie spowoduje ciągłe awarię aplikacji ponownie.

Dlatego zdecydowanie chcesz załatać to tak szybko, jak to możliwe.

Co robić?

Jak wspomniano powyżej, potrzebujesz OpenSSL 1.1.1s or Otwórz SSL 3.0.7 zastąpić dowolną wersję, którą masz w tej chwili.

OpenSSL 1.1.1s dostaje łatkę bezpieczeństwa opisaną jako naprawiająca „regresja [stary błąd, który pojawił się ponownie] wprowadzona w OpenSSL 1.1.1r nie odświeżająca danych certyfikatu, które mają być podpisane przed podpisaniem certyfikatu”, ten błąd nie ma przypisanej wagi ani CVE…

…ale nie pozwól, aby to zniechęciło Cię do aktualizacji tak szybko, jak to możliwe.

Otwórz SSL 3.0.7 otrzymuje dwie wymienione powyżej poprawki o WYSOKIEJ ważności, oznaczone numerem CVE, i chociaż nie brzmią teraz tak przerażająco, jak na festiwalu wiadomości poprzedzającym to wydanie, należy założyć, że:

• Wielu atakujących szybko zorientuje się, jak wykorzystać tę dziurę do celów DoS. Może to w najlepszym przypadku spowodować zakłócenia przepływu pracy, a w najgorszym problemy z cyberbezpieczeństwem, zwłaszcza jeśli błąd może zostać wykorzystany do spowolnienia lub przerwania ważnych zautomatyzowanych procesów (takich jak aktualizacje) w ekosystemie IT.
• Niektórzy atakujący mogą być w stanie zebrać te błędy w celu zdalnego wykonania kodu. Dałoby to przestępcom dużą szansę na wykorzystanie serwerów internetowych z pułapkami w celu podważenia oprogramowania klienckiego używanego do bezpiecznego pobierania w Twojej firmie.
• Jeśli zostanie znaleziony dowód koncepcji (PoC), wzbudzi ogromne zainteresowanie. Jak pamiętacie z Log4Shell, zaraz po opublikowaniu PoC, tysiące samozwańczych „badaczy” wskoczyło na modę „skanuj internet i atakuj w miarę postępu” pod pozorem „pomagania” ludziom w znalezieniu problemy w ich sieciach.

Należy pamiętać, że OpenSSL 1.0.2 jest nadal wspierany i aktualizowany, ale tylko prywatnie, dla klientów, którzy opłacili umowy z zespołem OpenSSL, dlatego nie mamy tutaj żadnych informacji do ujawnienia, poza potwierdzeniem, że CVE -ponumerowane błędy w OpenSSL 3.0 nie dotyczą serii OpenSSL 1.0.2.

Możesz Czytaj więceji zdobądź swój Aktualizacje OpenSSL, Z Witryna OpenSSL.

Aha, i jeśli PoC zaczną pojawiać się w Internecie, proszę nie bądź sprytnymi chodakami i zacznij „wypróbować” te PoC na komputerach innych ludzi pod wrażeniem, że „pomagasz” w jakichkolwiek „badaniach”.

---