Patch OpenSSL 3, kdysi „kritický“, ale nyní jen „vysoký“, opravuje přetečení vyrovnávací paměti.

Chyba zabezpečení OpenSSL byla kdysi označena jako první oprava kritické úrovně od doby, kdy byla právě opravena chyba Heartbleed měnící Internet. Nakonec se to objevilo jako oprava „vysokého“ zabezpečení pro přetečení vyrovnávací paměti, které ovlivňuje všechny instalace OpenSSL 3.x, ale je nepravděpodobné, že povede ke vzdálenému spuštění kódu.

OpenSSL verze 3.0.7 byla minulý týden oznámena jako kritická bezpečnostní záplata. Konkrétní zranitelnosti (nyní CVE-2022-37786 a CVE-2022-3602 ) byly do dnešního dne z velké části neznámé, ale analytici webového zabezpečení a společnosti naznačili, že mohou nastat znatelné problémy a problémy s údržbou. Některé distribuce Linuxu, včetně Fedory , mají zpožděné vydání, dokud nebude vydána oprava. Distribuční gigant Akamai před opravou poznamenal, že polovina jejich monitorovaných sítí měla alespoň jeden počítač se zranitelnou instancí OpenSSL 3.x a mezi těmito sítěmi bylo zranitelných 0,2 až 33 procent počítačů.

Ale konkrétní zranitelnosti – omezené okolnosti, přetečení na straně klienta, které je na většině moderních platforem zmírněno rozložením zásobníku – byly nyní opraveny a hodnoceny jako „vysoké“. A protože OpenSSL 1.1.1 je stále dlouhodobě podporováno, OpenSSL 3.x není tak rozšířené.

Expert na malware Markus Hutchins poukazuje na potvrzení OpenSSL na GitHubu , které podrobně popisuje problémy s kódem: „opravena dvě přetečení vyrovnávací paměti ve funkcích dekódování kódu“. Škodlivá e-mailová adresa ověřená certifikátem X.509 může způsobit přetečení bajtů v zásobníku, což může vést k selhání nebo potenciálně vzdálenému spuštění kódu v závislosti na platformě a konfiguraci.

Tato chyba zabezpečení však většinou postihuje klienty, nikoli servery, takže reset zabezpečení internetu (a absurdita), jako je Heartbleed, pravděpodobně nebude následovat. Mohou být ovlivněny například sítě VPN využívající OpenSSL 3.xa jazyky, jako je Node.js. Expert na kybernetickou bezpečnost Kevin Beaumont poukazuje na to, že ochrana před přetečením zásobníku ve výchozích konfiguracích většiny linuxových distribucí by měla bránit spuštění kódu.

Co se změnilo mezi kritickým oznámením a vydáním na vysoké úrovni? Bezpečnostní tým OpenSSL na svém blogu píše , že zhruba po týdnu organizace testovaly a poskytly zpětnou vazbu. U některých linuxových distribucí by 4bajtové přetečení možné při jediném útoku přepsalo sousední vyrovnávací paměť, která se ještě nepoužívala, a proto by nemohlo dojít ke zhroucení systému ani ke spuštění kódu. Další zranitelnost umožňovala útočníkovi nastavit pouze délku přetečení, nikoli však jeho obsah.

I když jsou pády stále možné a některé zásobníky mohou být uspořádány tak, aby umožňovaly vzdálené spuštění kódu, je to nepravděpodobné nebo snadné, což snižuje zranitelnost na „vysokou“. Uživatelé jakékoli implementace OpenSSL verze 3.x by však měli nainstalovat opravu co nejdříve. A každý by si měl dávat pozor na aktualizace softwaru a operačního systému, které mohou tyto problémy vyřešit v různých subsystémech.

Monitorovací služba Datadog v dobrém prohlášení o problému poznamenává, že její bezpečnostní výzkumný tým dokázal selhat při nasazení Windows pomocí verze OpenSSL 3.x jako důkaz konceptu. A i když je nepravděpodobné, že by nasazení Linuxu bylo zneužitelné, stále by se mohl objevit „exploit vytvořený pro nasazení Linuxu“.

Národní centrum kybernetické bezpečnosti Nizozemska (NCSL-NL) má aktuální seznam softwaru ohroženého zneužitím OpenSSL 3.x. Četné populární linuxové distribuce, virtualizační platformy a další nástroje jsou uvedeny jako zranitelné nebo prověřované.