Der OpenSSL 3-Patch, einst „kritisch“, jetzt aber nur noch „hoch“, behebt einen Pufferüberlauf.

Die OpenSSL-Schwachstelle wurde einst als erster kritischer Fix seit der Behebung des Internet-verändernden Heartbleed-Bugs markiert. Es handelte sich schließlich um einen „hochsicheren“ Fix für einen Pufferüberlauf, der alle OpenSSL 3.x-Installationen betrifft, aber wahrscheinlich nicht zur Remote-Codeausführung führt.

OpenSSL Version 3.0.7 wurde letzte Woche als kritischer Sicherheitspatch angekündigt. Die spezifischen Schwachstellen (jetzt CVE-2022-37786 und CVE-2022-3602 ) waren bis heute weitgehend unbekannt, aber Web-Sicherheitsanalysten und Unternehmen haben angedeutet, dass es zu auffälligen Problemen und Wartungsproblemen kommen könnte. Einige Linux-Distributionen, darunter Fedora , verzögern die Veröffentlichung, bis ein Patch veröffentlicht wird. Der Vertriebsriese Akamai stellte vor dem Patch fest, dass in der Hälfte seiner überwachten Netzwerke mindestens eine Maschine mit einer anfälligen Instanz von OpenSSL 3.x vorhanden war und zwischen 0,2 und 33 Prozent der Maschinen unter diesen Netzwerken anfällig waren.

Aber spezifische Schwachstellen – begrenzte Umstände, clientseitige Überläufe, die durch das Stack-Layout auf den meisten modernen Plattformen gemildert werden – wurden inzwischen gepatcht und mit „hoch“ bewertet. Und da OpenSSL 1.1.1 noch langfristig unterstützt wird, ist OpenSSL 3.x nicht so weit verbreitet.

Malware-Experte Markus Hutchins verweist auf einen OpenSSL-Commit auf GitHub , der die Probleme mit dem Code detailliert beschreibt: „Zwei Pufferüberläufe in Code-Dekodierungsfunktionen behoben“. Eine böswillige E-Mail-Adresse, die mit einem X.509-Zertifikat validiert wurde, kann je nach Plattform und Konfiguration einen Byteüberlauf auf dem Stapel verursachen, der zu einem Absturz oder möglicherweise zur Remote-Codeausführung führt.

Da diese Schwachstelle jedoch hauptsächlich Clients und nicht Server betrifft, ist es unwahrscheinlich, dass es zu einem Reset (und einer Absurdität) der Internetsicherheit wie Heartbleed kommt. Betroffen sein können beispielsweise VPNs, die OpenSSL 3.x und Sprachen wie Node.js verwenden. Der Cybersicherheitsexperte Kevin Beaumont weist darauf hin , dass der Stapelüberlaufschutz in den Standardkonfigurationen der meisten Linux-Distributionen die Ausführung von Code verhindern sollte.

Was hat sich zwischen der kritischen Ankündigung und der Veröffentlichung auf hoher Ebene geändert? Das OpenSSL-Sicherheitsteam schreibt in seinem Blog , dass die Organisationen nach etwa einer Woche getestet und Feedback gegeben haben. Bei einigen Linux-Distributionen würde ein 4-Byte-Überlauf, der bei einem einzelnen Angriff möglich wäre, einen angrenzenden Puffer überschreiben, der noch nicht verwendet wurde und daher nicht zum Absturz des Systems oder zur Ausführung von Code führen könnte. Eine weitere Sicherheitslücke ermöglichte es einem Angreifer, nur die Länge des Überlaufs festzulegen, nicht jedoch dessen Inhalt.

Während also Abstürze immer noch möglich sind und einige Stapel so angeordnet werden können, dass sie die Ausführung von Code aus der Ferne ermöglichen, ist dies unwahrscheinlich oder einfach, wodurch die Anfälligkeit auf „hoch“ reduziert wird. Benutzer einer beliebigen Implementierung von OpenSSL Version 3.x sollten den Patch jedoch so schnell wie möglich installieren. Und jeder sollte nach Software- und Betriebssystem-Updates Ausschau halten, die diese Probleme in verschiedenen Subsystemen beheben können.

Der Überwachungsdienst Datadog stellt in einer guten Darstellung des Problems fest, dass sein Sicherheitsforschungsteam eine Windows-Bereitstellung mit der OpenSSL 3.x-Version als Proof of Concept zum Scheitern bringen konnte. Auch wenn es unwahrscheinlich ist, dass Linux-Bereitstellungen ausgenutzt werden können, könnte dennoch ein „für Linux-Bereitstellungen entwickelter Exploit“ entstehen.

Das Nationale Zentrum für Cybersicherheit der Niederlande (NCSL-NL) verfügt über eine aktuelle Liste von Software, die für den OpenSSL 3.x-Exploit anfällig ist. Zahlreiche beliebte Linux-Distributionen, Virtualisierungsplattformen und andere Tools werden als anfällig aufgeführt oder werden untersucht.