OpenSSL 3-patchen, der engang var “kritisk”, men nu bare “høj”, retter et bufferoverløb.

OpenSSL-sårbarheden blev engang markeret som den første rettelse på kritisk niveau, siden den internet-ændrende Heartbleed-fejl netop blev rettet. Det fremstod til sidst som en “høj” sikkerhedsrettelse for et bufferoverløb, der påvirker alle OpenSSL 3.x-installationer, men som næppe vil resultere i fjernudførelse af kode.

OpenSSL version 3.0.7 blev annonceret i sidste uge som en kritisk sikkerhedspatch. De specifikke sårbarheder (nu CVE-2022-37786 og CVE-2022-3602 ) var stort set ukendte indtil i dag, men websikkerhedsanalytikere og virksomheder har antydet, at der kan være mærkbare problemer og vedligeholdelsesproblemer. Nogle Linux-distributioner, inklusive Fedora , har forsinkede udgivelser, indtil en patch er frigivet. Distributionsgiganten Akamai bemærkede før patchen, at halvdelen af ​​deres overvågede netværk havde mindst én maskine med en sårbar forekomst af OpenSSL 3.x, og blandt disse netværk var mellem 0,2 og 33 procent af maskinerne sårbare.

Men specifikke sårbarheder – begrænsede omstændigheder, overløb på klientsiden, som afbødes af stak-layout på de fleste moderne platforme – er nu blevet rettet og vurderet som “høj”. Og fordi OpenSSL 1.1.1 stadig understøttes på længere sigt, er OpenSSL 3.x ikke så udbredt.

Malware-ekspert Markus Hutchins peger på en OpenSSL-commit på GitHub , der beskriver problemerne med koden: “fixed to buffer overflows in code decoding functions”. En ondsindet e-mailadresse, der er valideret med et X.509-certifikat, kan forårsage et byte-overløb på stakken, hvilket fører til et nedbrud eller potentielt fjernudførelse af kode, afhængigt af platformen og konfigurationen.

Men denne sårbarhed påvirker for det meste klienter, ikke servere, så en internetsikkerhedsnulstilling (og absurditet) som Heartbleed vil næppe følge. For eksempel kan VPN’er, der bruger OpenSSL 3.x og sprog som Node.js, blive påvirket. Cybersikkerhedsekspert Kevin Beaumont påpeger, at stackoverløbsbeskyttelse i standardkonfigurationerne for de fleste Linux-distributioner bør forhindre kode i at køre.

Hvad er ændret mellem den kritiske meddelelse og udgivelsen på højt niveau? OpenSSL-sikkerhedsteamet skriver på deres blog , at organisationer efter cirka en uge testede og gav feedback. På nogle Linux-distributioner ville et 4-byte-overløb muligt i et enkelt angreb overskrive en tilstødende buffer, der endnu ikke var i brug, og kunne derfor ikke crashe systemet eller få kode til at køre. En anden sårbarhed tillod en angriber kun at indstille længden af ​​overløbet, men ikke dets indhold.

Så selvom nedbrud stadig er mulige, og nogle stakke kan arrangeres til at tillade fjernudførelse af kode, er dette usandsynligt eller nemt, hvilket reducerer sårbarheden til “høj”. Brugere af enhver implementering af OpenSSL version 3.x bør dog installere patchen så hurtigt som muligt. Og alle bør holde øje med software- og OS-opdateringer, der kan løse disse problemer i forskellige undersystemer.

Overvågningstjenesten Datadog bemærker i en god erklæring om problemet , at dets sikkerhedsforskningsteam var i stand til at fejle en Windows-implementering ved at bruge OpenSSL 3.x-versionen som et bevis på konceptet. Og selvom Linux-implementeringer næppe vil kunne udnyttes, kan en “udnyttelse bygget til Linux-implementeringer” stadig opstå.

National Cyber ​​​​Security Center i Holland (NCSL-NL) har en aktuel liste over software, der er sårbar over for OpenSSL 3.x-udnyttelsen. Talrige populære Linux-distributioner, virtualiseringsplatforme og andre værktøjer er angivet som sårbare eller under undersøgelse.