Popravki za OpenSSL so na voljo – KRITIČNA napaka je znižana na VISOKO, a vseeno popravite!

Začeli bomo s pomembnimi stvarmi: težko pričakovanimi popravki napak OpenSSL, objavljenimi prejšnji teden so zunaj.

OpenSSL 1.1.1 gre na različica 1.1.1sin popravi eno navedeno napako, povezano z varnostjo, vendar ta napaka nima varnostne ocene ali uradne številke CVE.

Močno priporočamo, da posodobite, vendar KRITIČNA posodobitev, ki ste jo videli v medijih o kibernetski varnosti, ne velja za to različico.

OpenSSL 3.0 gre na različica 3.0.7, in popravi ne enega, ampak dva varnostna hrošča s številko CVE, ki sta uradno označeni kot VISOKA resnost.

Močno priporočamo, da posodobite čim bolj nujno, vendar je KRITIČNI popravek, o katerem so vsi govorili, zdaj znižan na VISOKO.

To odraža mnenje ekipe OpenSSL:

Predhodne objave CVE-2022-3602 opisal to težavo kot KRITIČNO. Nadaljnja analiza, ki temelji na nekaterih olajševalnih dejavnikih, opisanih [v opombah ob izdaji], je privedla do tega, da je bila ocena znižana na VISOKO. Uporabnike še vedno pozivamo, da čim prej nadgradijo na novo različico.

Ironično, druga in podobna napaka, sinhronizirana CVE-2022-3786, je bil odkrit med pripravo popravka za CVE-2022-3602.

Prvotni hrošč dovoljuje napadalcu samo poškodovanje štirih bajtov v skladu, kar omejuje izkoriščanje luknje, medtem ko drugi hrošč omogoča neomejeno količino prelivanja sklada, vendar očitno le znaka "pika" (ASCII 46 ali 0x2E ) ponavljajo znova in znova.

Obe ranljivosti sta izpostavljeni med preverjanjem potrdila TLS, kjer se odjemalec ali strežnik, ujet v bombo, »identificira« strežniku ali odjemalcu na drugi strani z namerno napačno oblikovanim potrdilom TLS.

Čeprav se te vrste prelivanja skladov (eno z omejeno velikostjo in drugo z omejenimi vrednostmi podatkov) slišijo, kot da jih bo težko izkoristiti za izvajanje kode (zlasti v 64-bitni programski opremi, kjer so štirje bajci le polovica pomnilniškega naslova) …

... jih je skoraj zagotovo mogoče zlahka izkoristiti za napade DoS (zavrnitev storitve), kjer lahko pošiljatelj lažnega potrdila poljubno zruši prejemnika tega potrdila.

Na srečo večina izmenjav TLS vključuje odjemalce, ki preverjajo strežniška potrdila, in ne obratno.

Večina spletnih strežnikov na primer ne zahteva, da se obiskovalci identificirajo s potrdilom, preden jim dovolijo branje spletnega mesta, zato bo »smer zrušitve« kakršnih koli delujočih izkoriščanj verjetno zloraba strežnikov, ki zrušijo nesrečne obiskovalce, kar se na splošno šteje veliko manj hudo kot strežniki, ki se zrušijo vsakič, ko jih obišče en sam goljuf obiskovalec.

Kljub temu je treba vsako tehniko, s katero lahko vdrti spletni ali e-poštni strežnik neupravičeno zruši gostujoči brskalnik ali e-poštno aplikacijo, obravnavati kot nevarno, nenazadnje zato, ker bo vsak poskus odjemalske programske opreme, da znova poskusi vzpostaviti povezavo, povzročil znova in znova in znova zrušitev aplikacije. ponovno.

Zato si vsekakor želite popravite proti temu takoj, ko lahko.

Kaj storiti?

Kot je navedeno zgoraj, potrebujete OpenSSL 1.1.1s or Odprite SSL 3.0.7 zamenjati katero koli različico, ki jo trenutno imate.

OpenSSL 1.1.1s prejme varnostni popravek, opisan kot popravek »regresija [stara napaka, ki se je znova pojavila], uvedena v OpenSSL 1.1.1r, ne osvežuje podatkov potrdila, ki naj se podpišejo pred podpisom potrdila«, tej napaki ni dodeljena resnost ali CVE ...

... vendar naj vas to ne odvrne od posodobitve takoj, ko lahko.

Odprite SSL 3.0.7 prejme zgoraj navedena popravka VISOKE resnosti s številko CVE, in čeprav zdaj ne zvenita tako strašljivo kot na festivalu novic, ki je vodil do te izdaje, morate domnevati, da:

• Mnogi napadalci bodo hitro ugotovili, kako izkoristiti te luknje za namene DoS. To bi lahko v najboljšem primeru povzročilo motnje v delovnem toku in v najslabšem primeru težave s kibernetsko varnostjo, še posebej, če je hrošč mogoče zlorabiti za upočasnitev ali prekinitev pomembnih avtomatiziranih procesov (kot so posodobitve) v vašem ekosistemu IT.
• Nekateri napadalci se morda lahko prepirajo s temi hrošči za oddaljeno izvajanje kode. To bi kriminalcem dalo dobre možnosti, da uporabijo spletne strežnike, ki so ujeti v mine, za spodkopavanje odjemalske programske opreme, ki se uporablja za varne prenose v vašem podjetju.
• Če se najde dokaz koncepta (PoC), bo pritegnil ogromno zanimanja. Kot se spomnite iz Log4Shell, je takoj, ko so bili objavljeni PoC-ji, na tisoče samooklicanih "raziskovalcev" skočilo na vagon skeniranja interneta in napadanja sproti pod krinko "pomoči" ljudem najti težave v svojih omrežjih.

Upoštevajte, da je OpenSSL 1.0.2 še vedno podprt in posodobljen, vendar samo zasebno, za stranke, ki imajo plačane pogodbe z ekipo OpenSSL, zato nimamo nobenih informacij, ki bi jih lahko razkrili tukaj, razen potrditve, da CVE - oštevilčene napake v OpenSSL 3.0 ne veljajo za serijo OpenSSL 1.0.2.

Ti lahko Preberi več, in pridobite svoje Posodobitve OpenSSL, Iz Spletno mesto OpenSSL.

Oh, in če se PoC-ji začnejo pojavljati na spletu, prosim, ne bodite prebrisani in začnite "preizkušati" te PoC-je z računalniki drugih ljudi pod vtisom, da "pomagate" pri kakršni koli "raziskavi".

---