Патчи для OpenSSL вышли — КРИТИЧЕСКАЯ ошибка понижена до ВЫСОКОЙ, но все равно исправляйте!

Начнем с важных вещей: долгожданных исправлений ошибок OpenSSL, анонсированных на прошлой неделе. вышли.

OpenSSL 1.1.1 переходит на версия 1.1.1с, и исправляет одну из перечисленных ошибок, связанных с безопасностью, но у этой ошибки нет рейтинга безопасности или официального номера CVE.

Мы настоятельно рекомендуем вам обновиться, но КРИТИЧЕСКОЕ обновление, которое вы видели на носителе кибербезопасности, не относится к этой версии.

OpenSSL 3.0 переходит на версия 3.0.7, и исправляет не одну, а две ошибки безопасности с номером CVE, которые официально обозначены как ВЫСОКАЯ серьезность.

Мы настоятельно рекомендуем вам обновиться как можно скорее, но КРИТИЧЕСКОЕ исправление, о котором все говорили, теперь понижено до ВЫСОКОЙ серьезности.

Это отражает мнение команды OpenSSL:

Предварительные объявления CVE-2022-3602 описал эту проблему как КРИТИЧЕСКУЮ. Дальнейший анализ, основанный на некоторых смягчающих факторах, описанных [в примечаниях к выпуску], привел к понижению этого уровня до ВЫСОКОГО. Пользователям по-прежнему рекомендуется как можно скорее перейти на новую версию.

По иронии судьбы, вторая и похожая ошибка, получившая название CVE-2022-3786, было обнаружено во время подготовки исправления для CVE-2022-3602.

Первоначальная ошибка позволяет злоумышленнику повредить только четыре байта в стеке, что ограничивает возможность эксплуатации дыры, в то время как вторая ошибка допускает неограниченный объем переполнения стека, но, по-видимому, только символа «точка» (ASCII 46 или 0x2E). ) повторяется снова и снова.

Обе уязвимости обнаруживаются во время проверки сертификата TLS, когда заминированный клиент или сервер «идентифицирует» себя для сервера или клиента на другом конце с помощью преднамеренно искаженного сертификата TLS.

Хотя эти виды переполнения стека (один с ограниченным размером, а другой с ограниченными значениями данных) звучат так, как будто их будет сложно использовать для выполнения кода (особенно в 64-битном программном обеспечении, где четыре байта — это только половина адреса памяти) …

… они почти наверняка легко могут быть использованы для DoS-атак (отказ в обслуживании), когда отправитель мошеннического сертификата может по своему желанию вывести из строя получателя этого сертификата.

К счастью, в большинстве обменов TLS клиенты проверяют сертификаты сервера, а не наоборот.

Большинство веб-серверов, например, не требуют, чтобы посетители идентифицировали себя с помощью сертификата, прежде чем разрешить им читать сайт, поэтому «направление сбоя» любых работающих эксплойтов, вероятно, будет заключаться в том, что мошеннические серверы вызывают сбой незадачливых посетителей, что обычно считается гораздо менее серьезными, чем сбои серверов каждый раз, когда их просматривает один мошенник.

Тем не менее, любой метод, с помощью которого взломанный веб-сервер или сервер электронной почты может безосновательно привести к сбою посещающего браузер или почтовое приложение, должен считаться опасным, не в последнюю очередь потому, что любая попытка клиентского программного обеспечения повторить попытку подключения приведет к сбою приложения снова, снова и снова. опять таки.

Поэтому вы определенно хотите патч против этого, как только вы можете.

Что делать?

Как уже упоминалось выше, вам понадобится OpenSSL 1.1.1с or Откройте SSL 3.0.7 чтобы заменить любую версию, которая у вас есть на данный момент.

OpenSSL 1.1.1с получает исправление безопасности, описанное как исправление «регрессия [старая ошибка, которая снова появилась], представленная в OpenSSL 1.1.1r, не обновляющая данные сертификата, которые должны быть подписаны, перед подписанием сертификата», эта ошибка не имеет серьезности или CVE, назначенных ей…

…но не позволяйте этому откладывать обновление как можно скорее.

Откройте SSL 3.0.7 получает два исправления ВЫСОКОЙ серьезности с номером CVE, перечисленные выше, и хотя сейчас они звучат не так пугающе, как на фестивале новостей, предшествующем этому выпуску, вы должны предположить, что:

• Многие злоумышленники быстро поймут, как использовать эти дыры в целях DoS. В лучшем случае это может привести к нарушению рабочего процесса, а в худшем — к проблемам с кибербезопасностью, особенно если ошибка может быть использована для замедления или нарушения важных автоматизированных процессов (например, обновлений) в вашей ИТ-экосистеме.
• Некоторые злоумышленники могут обработать эти ошибки для удаленного выполнения кода. Это дало бы преступникам хороший шанс использовать веб-серверы-ловушки для подрыва клиентского программного обеспечения, используемого для безопасных загрузок в вашем собственном бизнесе.
• Если доказательство концепции (PoC) будет найдено, оно вызовет огромный интерес. Как вы помните из Log4Shell, как только PoC были опубликованы, тысячи самопровозглашенных «исследователей» подхватили идею «сканировать Интернет и атаковать по мере продвижения» под предлогом «помощи» людям найти проблемы в их сетях.

Обратите внимание, что OpenSSL 1.0.2 по-прежнему поддерживается и обновляется, но только в частном порядке, для клиентов, которые оплатили контракты с командой OpenSSL, поэтому у нас нет никакой информации, которую мы могли бы раскрыть здесь, кроме подтверждения того, что CVE Ошибки с нумерацией в OpenSSL 3.0 не относятся к серии OpenSSL 1.0.2.

Вы можете подробнее, и получите свой Обновления OpenSSLС Веб-сайт OpenSSL.

О, и если PoC действительно начинают появляться в сети, пожалуйста, не будьте хитрыми и не начинайте «опробовать» эти PoC на компьютерах других людей под впечатлением, что вы «помогаете» в каком-либо «исследовании».

---