แพตช์ OpenSSL ออกแล้ว – บั๊กที่สำคัญถูกดาวน์เกรดเป็น HIGH แต่แพตช์ต่อไป!

เราจะเริ่มด้วยสิ่งที่สำคัญ: การแก้ไขข้อบกพร่องของ OpenSSL ที่ประกาศเมื่อสัปดาห์ที่แล้ว ออกแล้ว.

OpenSSL 1.1.1 ไปที่ เวอร์ชัน 1.1.1sและแก้ไขจุดบกพร่องที่เกี่ยวข้องกับความปลอดภัยหนึ่งรายการ แต่จุดบกพร่องนี้ไม่มีระดับความปลอดภัยหรือหมายเลข CVE อย่างเป็นทางการ

เราขอแนะนำให้คุณอัปเดต แต่การอัปเดตที่สำคัญที่คุณจะได้เห็นในสื่อความปลอดภัยทางไซเบอร์นั้นใช้ไม่ได้กับเวอร์ชันนี้

OpenSSL 3.0 ไปที่ 3.0.7 รุ่นและแก้ไขจุดบกพร่องด้านความปลอดภัยที่มีหมายเลข CVE ไม่ได้หนึ่งแต่สองจุดที่กำหนดอย่างเป็นทางการที่ระดับความรุนแรงสูง

เราขอแนะนำให้คุณอัปเดตโดยด่วนที่สุดเท่าที่จะทำได้ แต่การแก้ไขที่สำคัญที่ทุกคนพูดถึงได้ถูกปรับลดรุ่นเป็นระดับความรุนแรงสูงแล้ว

สิ่งนี้สะท้อนความคิดเห็นของทีม OpenSSL:

การประกาศล่วงหน้าของ CVE-2022-3602 อธิบายปัญหานี้ว่า CRITICAL การวิเคราะห์เพิ่มเติมโดยอิงจากปัจจัยบรรเทาผลกระทบบางอย่างที่อธิบายไว้ [ในบันทึกย่อประจำรุ่น] ได้นำไปสู่การปรับลดรุ่นเป็นสูง ผู้ใช้ยังคงควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

แดกดันแมลงตัวที่สองและคล้ายกันขนานนามว่า CVE-2022-3786ถูกค้นพบในขณะที่กำลังเตรียมการแก้ไขสำหรับ CVE-2022-3602

บั๊กดั้งเดิมอนุญาตให้ผู้โจมตีสร้างความเสียหายได้เพียงสี่ไบต์บนสแต็ก ซึ่งจำกัดการใช้ประโยชน์จากรู ในขณะที่บั๊กที่สองอนุญาตให้มีปริมาณล้นสแต็กไม่จำกัด แต่เห็นได้ชัดว่ามีเพียงอักขระ "จุด" (ASCII 46 หรือ 0x2E) ) ซ้ำแล้วซ้ำอีก

ช่องโหว่ทั้งสองถูกเปิดเผยระหว่างการตรวจสอบใบรับรอง TLS โดยที่ไคลเอ็นต์หรือเซิร์ฟเวอร์ที่ติดกับดัก "ระบุ" ตัวเองกับเซิร์ฟเวอร์หรือไคลเอ็นต์ที่ปลายอีกด้านหนึ่งด้วยใบรับรอง TLS ที่มีรูปแบบไม่ถูกต้อง

แม้ว่าสแต็กโอเวอร์โฟลว์ประเภทนี้ (หนึ่งในขนาดที่จำกัดและอีกค่าหนึ่งของค่าข้อมูลที่จำกัด) ฟังดูราวกับว่าพวกเขาจะใช้งานโค้ดอย่างยากลำบาก (โดยเฉพาะในซอฟต์แวร์ 64 บิต โดยที่สี่ไบต์เป็นเพียงครึ่งหนึ่งของที่อยู่หน่วยความจำ) …

…พวกเขาเกือบจะแน่ใจว่าสามารถใช้ประโยชน์ได้ง่ายสำหรับการโจมตี DoS (การปฏิเสธบริการ) ซึ่งผู้ส่งใบรับรองอันธพาลอาจทำให้ผู้รับใบรับรองเสียหายได้ตามต้องการ

โชคดีที่การแลกเปลี่ยน TLS ส่วนใหญ่เกี่ยวข้องกับไคลเอนต์ที่ตรวจสอบใบรับรองเซิร์ฟเวอร์ ไม่ใช่วิธีอื่น

ตัวอย่างเช่น เว็บเซิร์ฟเวอร์ส่วนใหญ่ไม่ต้องการให้ผู้เยี่ยมชมระบุตัวเองด้วยใบรับรองก่อนที่จะอนุญาตให้พวกเขาอ่านไซต์ ดังนั้น "ทิศทางการขัดข้อง" ของการหาประโยชน์จากการทำงานใด ๆ มักจะเป็นเซิร์ฟเวอร์อันธพาลที่ทำให้ผู้เยี่ยมชมต้องหยุดชะงัก ซึ่งโดยทั่วไปถือว่า รุนแรงน้อยกว่าเซิร์ฟเวอร์หยุดทำงานทุกครั้งที่มีการเรียกดูโดยผู้เยี่ยมชมอันธพาลเพียงคนเดียว

อย่างไรก็ตาม เทคนิคใด ๆ ที่เว็บหรือเซิร์ฟเวอร์อีเมลที่ถูกแฮ็กอาจทำให้เบราว์เซอร์ที่เข้าชมหรือแอปอีเมลขัดข้องโดยไม่จำเป็นจะต้องถือว่าเป็นอันตราย ไม่น้อยเพราะความพยายามใด ๆ โดยซอฟต์แวร์ไคลเอ็นต์เพื่อลองเชื่อมต่อใหม่จะส่งผลให้แอปหยุดทำงานซ้ำแล้วซ้ำอีก อีกครั้ง.

คุณจึงต้องการ แก้ไขให้เร็วที่สุดเท่าที่จะทำได้.

จะทำอย่างไร?

ดังที่ได้กล่าวไว้ข้างต้น คุณต้อง OpenSSL 1.1.1 วินาที or เปิด SSL 3.0.7 เพื่อแทนที่เวอร์ชันที่คุณมีในขณะนี้

OpenSSL 1.1.1 วินาที ได้รับแพตช์ความปลอดภัยที่อธิบายว่ากำลังแก้ไข “การถดถอย [ข้อผิดพลาดเก่าที่ปรากฏขึ้นอีกครั้ง] ที่นำมาใช้ใน OpenSSL 1.1.1r ไม่รีเฟรชข้อมูลใบรับรองที่จะลงนามก่อนลงนามในใบรับรอง”บั๊กนั้นไม่มีความรุนแรงหรือ CVE ที่กำหนดให้กับมัน...

…แต่อย่าปล่อยให้สิ่งนั้นทำให้คุณปิดการอัปเดตโดยเร็วที่สุด

เปิด SSL 3.0.7 ได้รับการแก้ไขปัญหาความรุนแรงสูงที่มีหมายเลข CVE สองรายการตามรายการด้านบน และแม้ว่าตอนนี้จะไม่ได้ฟังดูน่ากลัวเท่ากับที่ทำในเทศกาลข่าวที่นำไปสู่การเผยแพร่นี้ คุณควรถือว่า:

• ผู้โจมตีจำนวนมากจะหาวิธีใช้ประโยชน์จากช่องโหว่เหล่านี้อย่างรวดเร็วเพื่อวัตถุประสงค์ของ DoS ซึ่งอาจทำให้เกิดการหยุดชะงักของเวิร์กโฟลว์ได้ดีที่สุด และปัญหาด้านความปลอดภัยทางไซเบอร์ที่เลวร้ายที่สุด โดยเฉพาะอย่างยิ่งหากบั๊กนั้นถูกใช้ในทางที่ผิดเพื่อทำให้กระบวนการอัตโนมัติที่สำคัญช้าลง (เช่น การอัปเดต) ในระบบนิเวศไอทีของคุณ
• ผู้โจมตีบางคนอาจสามารถต่อสู้กับจุดบกพร่องเหล่านี้เพื่อเรียกใช้โค้ดจากระยะไกล สิ่งนี้จะทำให้อาชญากรมีโอกาสที่ดีในการใช้เว็บเซิร์ฟเวอร์ที่ติดกับดักเพื่อทำลายซอฟต์แวร์ไคลเอนต์ที่ใช้สำหรับการดาวน์โหลดที่ปลอดภัยในธุรกิจของคุณ
• หากพบการพิสูจน์แนวคิด (PoC) มันจะดึงดูดความสนใจอย่างมาก ดังที่คุณจะจำได้จาก Log4Shell ทันทีที่ PoC ถูกเผยแพร่ "นักวิจัย" ที่ประกาศตัวเองหลายพันคนกระโดดขึ้นไปบนกลุ่มสแกนอินเทอร์เน็ตและโจมตีตามที่คุณไปภายใต้หน้ากากของ "การช่วยเหลือ" ที่ผู้คนค้นหา ปัญหาในเครือข่ายของตน

โปรดทราบว่า OpenSSL 1.0.2 ยังคงรองรับและอัปเดต แต่เป็นการส่วนตัวเท่านั้น สำหรับลูกค้าที่ชำระค่าสัญญากับทีม OpenSSL ดังนั้นเราจึงไม่มีข้อมูลใด ๆ ที่จะเปิดเผยที่นี่นอกเหนือจากการยืนยันว่า CVE - บั๊กที่มีหมายเลขใน OpenSSL 3.0 ใช้ไม่ได้กับซีรี่ส์ OpenSSL 1.0.2

คุณสามารถ อ่านเพิ่มเติมและรับ .ของคุณ การอัปเดต OpenSSLจาก เว็บไซต์ OpenSSL.

โอ้ และถ้า PoC เริ่มปรากฏขึ้นทางออนไลน์ โปรดอย่าเป็นคนฉลาดและเริ่ม "ทดลอง" PoC เหล่านั้นกับคอมพิวเตอร์ของผู้อื่นโดยรู้สึกว่าคุณกำลัง "ช่วย" กับ "การวิจัย" ทุกประเภท

---