Patch-urile OpenSSL au fost eliminate – eroare CRITICĂ retrogradată la HIGH, dar corecția oricum! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Patch-urile OpenSSL au fost eliminate – eroare CRITICĂ retrogradată la HIGH, dar corecția oricum!

Marca temporală: 1 noiembrie 2022, ora 1:24

by
Paul Ducklin

Vom începe cu lucrurile importante: remedierea erorilor OpenSSL mult așteptate anunțate săptămâna trecută esti pe dinafara.

OpenSSL 1.1.1 merge la versiunea 1.1.1s, și corectează o eroare de securitate listată, dar această eroare nu are o evaluare de securitate sau un număr CVE oficial.

Vă recomandăm insistent să actualizați, dar actualizarea CRITICĂ pe care o veți fi văzut în mediile de securitate cibernetică nu se aplică acestei versiuni.

OpenSSL 3.0 merge la Versiunea 3.0.7, și corectează nu una, ci două erori de securitate numerotate CVE care sunt oficial desemnate la severitate HIGH.

Vă recomandăm insistent să actualizați, cu cât de multă urgență puteți, dar soluția CRITICĂ despre care vorbeau toată lumea a fost acum retrogradată la severitate HIGH.

Aceasta reflectă opinia echipei OpenSSL:

Preanunţuri ale CVE-2022-3602 a descris această problemă ca fiind CRITICĂ. O analiză ulterioară bazată pe unii dintre factorii de atenuare descriși [în notele de lansare] au determinat ca aceasta să fie retrogradată la HIGH. Utilizatorii sunt în continuare încurajați să facă upgrade la o versiune nouă cât mai curând posibil.

În mod ironic, un al doilea bug similar, dublat CVE-2022-3786, a fost descoperit în timp ce se pregătea remedierea pentru CVE-2022-3602.

Bug-ul original permite unui atacator să corupă doar patru octeți de pe stivă, ceea ce limitează exploatarea găurii, în timp ce a doua eroare permite o cantitate nelimitată de depășire a stivei, dar aparent doar caracterul „punct” (ASCII 46 sau 0x2E). ) repetate iar și iar.

Ambele vulnerabilități sunt expuse în timpul verificării certificatului TLS, în cazul în care un client sau un server prin capcană se „identifică” la serverul sau clientul de la celălalt capăt cu un certificat TLS deliberat incorect.

Deși aceste tipuri de depășire a stivei (unul de dimensiune limitată și celălalt de valori limitate de date) sună ca și cum vor fi greu de exploatat pentru executarea codului (mai ales în software-ul pe 64 de biți, unde patru octeți reprezintă doar jumătate dintr-o adresă de memorie) …

…sunt aproape sigur exploatabile cu ușurință pentru atacuri DoS (denial of service), în care expeditorul unui certificat necinstite ar putea să blocheze destinatarul acelui certificat după bunul plac.

Din fericire, majoritatea schimburilor TLS implică clienții care verifică certificatele de server, și nu invers.

Majoritatea serverelor web, de exemplu, nu solicită vizitatorilor să se identifice cu un certificat înainte de a le permite să citească site-ul, așa că „direcția de blocare” a oricăror exploatări de lucru este probabil să fie servere necinstite care blochează vizitatori nefericiți, ceea ce este în general considerat mult mai puțin grav decât se blochează serverele de fiecare dată când sunt răsfoite de către un singur vizitator necinstiți.

Cu toate acestea, orice tehnică prin care un web sau un server de e-mail piratat poate bloca în mod gratuit un browser sau o aplicație de e-mail care vizitează trebuie considerată periculoasă, nu în ultimul rând pentru că orice încercare a software-ului client de a reîncerca conexiunea va duce la blocarea aplicației din nou și din nou și din nou. din nou.

Prin urmare, cu siguranță vrei petice împotriva asta cât mai curând posibil.

Ce să fac?

După cum am menționat mai sus, aveți nevoie OpenSSL 1.1.1s or Deschideți SSL 3.0.7 pentru a înlocui orice versiune pe care o aveți în acest moment.

OpenSSL 1.1.1s primește un patch de securitate descris ca fiind reparat „o regresie [un bug vechi care a reapărut] introdusă în OpenSSL 1.1.1r care nu reîmprospăta datele certificatului pentru a fi semnate înainte de a semna certificatul”, eroarea respectivă nu are o gravitate sau un CVE alocat...

…dar nu lăsați asta să vă împiedicați să actualizați cât mai curând posibil.

Deschideți SSL 3.0.7 primește cele două remedieri de gravitate MARE, numerotate CVE enumerate mai sus și, deși nu sună la fel de înfricoșător acum ca în festivalul de știri care a precedat această lansare, ar trebui să presupuneți că:

  • Mulți atacatori își vor da seama rapid cum să exploateze aceste găuri în scopuri DoS. Acest lucru ar putea cauza, în cel mai bun caz, întreruperi ale fluxului de lucru și probleme de securitate cibernetică în cel mai rău caz, mai ales dacă eroarea poate fi abuzată pentru a încetini sau a întrerupe procese automate importante (cum ar fi actualizările) din ecosistemul dvs. IT.
  • Unii atacatori pot fi capabili să rezolve aceste erori pentru executarea codului de la distanță. Acest lucru le-ar oferi criminalilor o șansă bună de a folosi servere web cu capcane pentru a submina software-ul client utilizat pentru descărcări securizate în propria afacere.
  • Dacă o dovadă de concept (PoC) este găsită, aceasta va atrage un interes enorm. După cum vă veți aminti de la Log4Shell, de îndată ce PoC-urile au fost publicate, mii de „cercetători” autoproclamați au sărit în trenul de scanare a internetului și de a ataca pe măsură ce mergeți sub pretextul de a „ajuta” oamenii să găsească probleme în rețelele lor.

Rețineți că OpenSSL 1.0.2 este încă acceptat și actualizat, dar numai în mod privat, pentru clienții care au contracte plătite cu echipa OpenSSL, motiv pentru care nu avem nicio informație de divulgat aici, în afară de a confirma că CVE - erorile numerotate din OpenSSL 3.0 nu se aplică seriei OpenSSL 1.0.2.

Poti Citește mai mult, și obține-ți Actualizări OpenSSL, de la Site-ul web OpenSSL.

A, și dacă PoC-urile încep să apară online, vă rog să nu fiți deștepți și să începeți să „încercați” acele PoC-uri pe computerele altora, cu impresia că „ajuți” cu orice fel de „cercetare”.

Timestamp-ul:

Mai mult de la Securitate goală