OpenSSL yamaları çıktı - KRİTİK hata YÜKSEK'e düşürüldü, ama yine de yama!

Önemli şeylerle başlayacağız: geçen hafta duyurulan, uzun süredir beklenen OpenSSL hata düzeltmeleri dışarıda.

OpenSSL 1.1.1 gider sürüm 1.1.1s, ve listelenen bir güvenlikle ilgili hatayı yamalar, ancak bu hatanın bir güvenlik derecesi veya resmi bir CVE numarası yoktur.

Güncellemenizi şiddetle tavsiye ediyoruz ancak siber güvenlik medyasında göreceğiniz KRİTİK güncelleme bu sürüm için geçerli değil.

OpenSSL 3.0 gider sürümü 3.0.7, ve YÜKSEK önem derecesinde resmi olarak belirlenmiş bir değil iki CVE numaralı güvenlik hatasını yamalar.

Elinizden geldiğince acil bir şekilde güncelleme yapmanızı şiddetle tavsiye ediyoruz, ancak herkesin bahsettiği KRİTİK düzeltme artık YÜKSEK önem düzeyine indirildi.

Bu, OpenSSL ekibinin görüşünü yansıtır:

Ön duyurular CVE-2022-3602 bu konuyu KRİTİK olarak nitelendirdi. [Sürüm notlarında] açıklanan bazı hafifletici faktörlere dayanan daha fazla analiz, bunun YÜKSEK'e düşürülmesine neden oldu. Kullanıcıların yine de mümkün olan en kısa sürede yeni bir sürüme yükseltmeleri önerilir.

İronik olarak, dublajlı ikinci ve benzer bir hata CVE-2022-3786, CVE-2022-3602 için düzeltme hazırlanırken keşfedildi.

Orijinal hata, bir saldırganın yığında yalnızca dört baytı bozmasına izin verir, bu da deliğin istismar edilebilirliğini sınırlar, ikinci hata ise sınırsız miktarda yığın taşmasına izin verir, ancak görünüşe göre yalnızca "nokta" karakteri (ASCII 46 veya 0x2E) ) defalarca tekrarlandı.

Her iki güvenlik açığı da, bubi tuzağına yakalanmış bir istemcinin veya sunucunun, kasıtlı olarak hatalı biçimlendirilmiş bir TLS sertifikasıyla kendisini diğer uçtaki sunucuya veya istemciye "tanımladığı" TLS sertifikası doğrulaması sırasında ortaya çıkar.

Bu tür yığın taşmaları (biri sınırlı boyutta ve diğeri sınırlı veri değerlerinde) kulağa kod yürütme için yararlanmaları zor gibi görünse de (özellikle dört baytın bir bellek adresinin yalnızca yarısı olduğu 64 bit yazılımda) …

...DoS (hizmet reddi) saldırıları için kolayca sömürülebilecekleri neredeyse kesindir, burada sahte bir sertifika gönderen kişi bu sertifikanın alıcısını istediği zaman çökertebilir.

Neyse ki, çoğu TLS alışverişi, sunucu sertifikalarını doğrulayan istemcileri içerir ve bunun tersi olmaz.

Örneğin, çoğu web sunucusu, ziyaretçilerin siteyi okumalarına izin vermeden önce kendilerini bir sertifika ile tanımlamalarını gerektirmez, bu nedenle, çalışan herhangi bir istismarın “çökme yönü” muhtemelen şanssız ziyaretçileri çökerten sahte sunucular olabilir, ki bu genellikle kabul edilir. tek bir haydut ziyaretçi tarafından her ziyaret edildiğinde çöken sunuculardan çok daha az şiddetli.

Bununla birlikte, saldırıya uğramış bir web veya e-posta sunucusunun ziyaret eden bir tarayıcıyı veya e-posta uygulamasını gereksiz yere çökertebileceği herhangi bir teknik, tehlikeli olarak kabul edilmelidir, çünkü istemci yazılımının bağlantıyı yeniden denemeye yönelik herhangi bir girişimi, uygulamanın tekrar tekrar çökmesine neden olacaktır. Yeniden.

Bu nedenle kesinlikle en kısa sürede buna karşı yama.

Ne yapalım?

Yukarıda belirtildiği gibi, ihtiyacınız OpenSSL 1.1.1'ler or SSL 3.0.7'ı açın şu anda sahip olduğunuz sürümü değiştirmek için.

OpenSSL 1.1.1'ler düzeltme olarak tanımlanan bir güvenlik yaması alır “OpenSSL 1.1.1r'de tanıtılan ve sertifikayı imzalamadan önce imzalanacak sertifika verilerini yenilemeyen bir gerileme [yeniden ortaya çıkan eski bir hata]”, bu hatanın bir önem derecesi veya kendisine atanmış bir CVE'si yok…

…ama bunun sizi mümkün olan en kısa sürede güncelleme yapmaktan alıkoymasına izin vermeyin.

SSL 3.0.7'ı açın yukarıda listelenen iki CVE numaralı YÜKSEK önemdeki düzeltmeyi alır ve şu anda bu sürüme giden haber festivalinde olduğu kadar korkutucu görünmeseler de, şunu varsaymalısınız:

• Birçok saldırgan, DoS amaçları için bu açıktan nasıl yararlanılacağını çabucak anlayacaktır. Bu, özellikle BT ekosisteminizdeki önemli otomatik süreçleri (güncellemeler gibi) yavaşlatmak veya bozmak için hata kötüye kullanılabilirse, en iyi ihtimalle iş akışı kesintisine ve en kötü ihtimalle siber güvenlik sorunlarına neden olabilir.
• Bazı saldırganlar, uzaktan kod yürütmek için bu hataları çözebilir. Bu, suçlulara, kendi işinizde güvenli indirmeler için kullanılan istemci yazılımını bozmak için bubi tuzağına yakalanmış web sunucularını kullanma şansı verir.
• Bir kavram kanıtı (PoC) bulunursa, büyük ilgi görecektir. Log4Shell'den hatırlayacağınız gibi, PoC'ler yayınlanır yayınlanmaz, kendi kendini ilan eden binlerce "araştırmacı", insanların bulmasına "yardım etme" kisvesi altında interneti tara ve hareket halindeyken saldır kervanına atladı. ağlarındaki sorunlar.

OpenSSL 1.0.2'nin hala desteklendiğini ve güncellendiğini, ancak yalnızca OpenSSL ekibiyle ödeme yapan müşteriler için özel olarak yapıldığını unutmayın; bu nedenle, CVE'nin onaylanması dışında burada ifşa edecek herhangi bir bilgiye sahip değiliz. -OpenSSL 3.0'daki numaralı hatalar OpenSSL 1.0.2 serisi için geçerli değildir.

Yapabilirsin daha fazla oku, ve senin olsun OpenSSL güncellemeleri, Dan OpenSSL web sitesi.

Oh, ve eğer PoC'ler çevrimiçi olarak ortaya çıkmaya başlarsa, lütfen akıllı bir tıkanıklık olmayın ve herhangi bir "araştırma" ile "yardım ettiğiniz" izlenimi altında bu PoC'leri diğer insanların bilgisayarlarına karşı "denmeye" başlayın.

---