Вийшли патчі OpenSSL – КРИТИЧНУ помилку знижено до ВИСОКОГО, але все одно виправте!

Ми почнемо з важливого: довгоочікувані виправлення помилок OpenSSL, оголошені минулого тижня вийшли.

OpenSSL 1.1.1 переходить до версія 1.1.1sі виправляє одну зазначену помилку, пов’язану з безпекою, але ця помилка не має рейтингу безпеки чи офіційного номера CVE.

Ми настійно рекомендуємо вам оновити, але КРИТИЧНЕ оновлення, яке ви бачили в ЗМІ про кібербезпеку, не стосується цієї версії.

OpenSSL 3.0 переходить до версія 3.0.7, а також виправляє не одну, а дві помилки безпеки з номером CVE, які офіційно позначені як ВИСОКИЙ рівень серйозності.

Ми настійно рекомендуємо вам оновити якомога терміново, але КРИТИЧНЕ виправлення, про яке всі говорили, тепер знижено до ВИСОКОГО рівня серйозності.

Це відображає думку команди OpenSSL:

Попередні оголошення про CVE-2022-3602 описав цю проблему як КРИТИЧНУ. Подальший аналіз на основі деяких пом’якшувальних факторів, описаних [у примітках до випуску], призвів до зниження рівня до ВИСОКОГО. Користувачів все ще заохочують оновити до нової версії якнайшвидше.

За іронією долі, другий і подібний баг, дубльований CVE-2022-3786, було виявлено під час підготовки виправлення для CVE-2022-3602.

Оригінальна помилка дозволяє зловмиснику лише пошкодити чотири байти в стеку, що обмежує можливість використання діри, тоді як друга помилка дозволяє необмежену кількість переповнення стеку, але, очевидно, лише символу «крапка» (ASCII 46 або 0x2E). ) повторюється знову і знову.

Обидві вразливості виявляються під час перевірки сертифіката TLS, коли мінований клієнт або сервер «ідентифікує» себе для сервера або клієнта на іншому кінці за допомогою навмисно неправильного сертифіката TLS.

Хоча такі типи переповнення стека (одне обмеженого розміру, а інше обмежених значень даних) звучать так, ніби їх буде важко використати для виконання коду (особливо в 64-розрядному програмному забезпеченні, де чотири байти — це лише половина адреси пам’яті) …

…їх майже напевно можна буде легко використати для атак DoS (відмова в обслуговуванні), коли відправник фальшивого сертифіката може за бажанням призвести до збою одержувача цього сертифіката.

На щастя, більшість обмінів TLS включають клієнти, які перевіряють сертифікати сервера, а не навпаки.

Більшість веб-серверів, наприклад, не вимагають від відвідувачів ідентифікувати себе за допомогою сертифіката, перш ніж дозволити їм читати сайт, тому «напрямок збою» будь-яких працюючих експлойтів, швидше за все, буде збій невдачливих відвідувачів з боку шахрайських серверів, що зазвичай вважається набагато менш серйозні, ніж збої серверів кожного разу, коли їх переглядає окремий відвідувач-шахрай.

Тим не менш, будь-яка техніка, за допомогою якої зламаний веб-сервер або сервер електронної пошти може безпідставно призвести до збою веб-переглядача або програми електронної пошти, слід вважати небезпечною, не в останню чергу тому, що будь-яка спроба клієнтського програмного забезпечення повторити з’єднання призведе до збою програми знову і знову і знову. знову.

Тому ви точно хочете виправте проти цього, як тільки зможете.

Що ж робити?

Як було сказано вище, вам потрібно OpenSSL 1.1.1s or Відкрийте SSL 3.0.7 щоб замінити будь-яку версію, яку ви маєте на даний момент.

OpenSSL 1.1.1s отримує патч безпеки, описаний як виправлення «регресія [стара помилка, яка знову з’явилася], представлена ​​в OpenSSL 1.1.1r, не оновлює дані сертифіката, які потрібно підписати перед підписанням сертифіката», ця помилка не має призначеного для неї рівня серйозності чи CVE…

…але нехай це не завадить вам оновити якомога швидше.

Відкрийте SSL 3.0.7 отримує два перелічені вище виправлення ВИСОКОГО ступеня серйозності з номерами CVE, і хоча зараз вони не звучать так страшно, як під час фестивалю новин, що передував цьому випуску, ви повинні припустити, що:

• Багато зловмисників швидко зрозуміють, як використовувати ці діри для цілей DoS. У найкращому випадку це може спричинити порушення робочого процесу, а в гіршому – проблеми з кібербезпекою, особливо якщо помилкою можна зловживати, щоб уповільнити або порушити важливі автоматизовані процеси (наприклад, оновлення) у вашій ІТ-екосистемі.
• Деякі зловмисники можуть сперечатися з цими помилками для віддаленого виконання коду. Це дасть злочинцям хороші шанси використовувати заміновані веб-сервери для підриву клієнтського програмного забезпечення, яке використовується для безпечного завантаження у вашому власному бізнесі.
• Якщо доказ концепції (PoC) буде знайдено, це приверне величезний інтерес. Як ви пам’ятаєте з Log4Shell, щойно PoCs були опубліковані, тисячі самопроголошених «дослідників» підхопили сканування Інтернету та атакування по ходу під виглядом «допомоги» людям знайти проблеми в своїх мережах.

Зауважте, що OpenSSL 1.0.2 все ще підтримується й оновлюється, але лише приватно, для клієнтів, які уклали платні контракти з командою OpenSSL, тому ми не маємо жодної інформації, щоб розкрити тут, окрім підтвердження того, що CVE -пронумеровані помилки в OpenSSL 3.0 не стосуються серії OpenSSL 1.0.2.

Ти можеш читати далі, і отримайте свій Оновлення OpenSSLЗ Веб-сайт OpenSSL.

Ах, і якщо PoC все-таки почнуть з’являтися в Інтернеті, будь ласка, не будьте розумниками та почніть «випробовувати» ці PoC на чужих комп’ютерах під враженням, що ви «допомагаєте» з будь-якими «дослідженнями».

---