OpenSSL 3 plaaster, mis oli kunagi “kriitiline”, kuid nüüd lihtsalt “kõrge”, parandab puhvri ületäitumise.

OpenSSL-i haavatavust märgiti kunagi esimese kriitilise taseme parandusena pärast seda, kui Internetti muutev Heartbleedi viga just parandati. Lõpuks ilmus see “kõrge” turvaparandusena puhvri ületäitumisele, mis mõjutab kõiki OpenSSL 3.x installimisi, kuid tõenäoliselt ei põhjusta see koodi kaugkäivitamist.

OpenSSL-i versioon 3.0.7 kuulutati eelmisel nädalal välja kriitilise turvapaigana. Konkreetsed haavatavused (nüüd CVE-2022-37786 ja CVE-2022-3602 ) olid tänaseni suures osas teadmata, kuid veebiturbeanalüütikud ja ettevõtted on vihjanud, et võib esineda märgatavaid probleeme ja hooldusprobleeme. Mõnel Linuxi distributsioonil, sealhulgas Fedoral , on väljalasked edasi lükatud, kuni plaaster välja antakse. Jaotushiiglane Akamai märkis enne plaastrit, et pooltel nende jälgitavatest võrkudest oli vähemalt üks masin, millel oli haavatav OpenSSL 3.x eksemplar, ja nendest võrkudest olid haavatavad 0,2–33 protsenti masinatest.

Kuid konkreetsed haavatavused – piiratud asjaolud, kliendipoolsed ülevoolud, mida enamikul moodsatel platvormidel virnapaigutus leevendab – on nüüd parandatud ja hinnatud kõrgeks. Ja kuna OpenSSL 1.1.1 on endiselt pikaajalises toes, ei ole OpenSSL 3.x nii laialt levinud.

Pahavaraekspert Markus Hutchins viitab GitHubi OpenSSL-i kohustusele , mis kirjeldab koodiga seotud probleeme: “parandatud kaks puhvri ületäitumist koodi dekodeerimise funktsioonides”. X.509 sertifikaadiga kinnitatud pahatahtlik meiliaadress võib sõltuvalt platvormist ja konfiguratsioonist põhjustada virnas baitide ülevoolu, mis võib põhjustada krahhi või võimaliku koodi kaugkäitamise.

Kuid see haavatavus mõjutab enamasti kliente, mitte servereid, nii et Interneti-turvalisuse lähtestamist (ja absurdsust), nagu Heartbleed, tõenäoliselt ei järgne. Näiteks võib see mõjutada VPN-e, mis kasutavad OpenSSL 3.x ja keeli, nagu Node.js. Küberturvalisuse ekspert Kevin Beaumont juhib tähelepanu sellele, et enamiku Linuxi distributsioonide vaikekonfiguratsioonides peaks virna ületäitumise kaitse takistama koodi käivitamist.

Mis on muutunud kriitilise teadaande ja kõrgetasemelise väljaande vahel? OpenSSL-i turvameeskond kirjutab oma ajaveebis , et umbes nädala pärast testisid organisatsioonid ja andsid tagasisidet. Mõnel Linuxi distributsioonil kirjutaks ühe rünnaku korral võimalik 4-baidine ületäitumine üle kõrvalasuva puhvri, mida veel ei kasutatud, ega saaks seetõttu süsteemi krahhi või koodi käivitamist põhjustada. Teine haavatavus võimaldas ründajal määrata ainult ülevoolu pikkuse, kuid mitte selle sisu.

Ehkki kokkujooksmised on endiselt võimalikud ja mõned virnad saab korraldada koodi kaugkäivitamiseks, on see ebatõenäoline või lihtne, vähendades haavatavust “kõrgele”. Siiski peaksid OpenSSL-i versiooni 3.x mis tahes juurutamise kasutajad installima paiga niipea kui võimalik. Ja kõik peaksid jälgima tarkvara- ja OS-i värskendusi, mis võivad need probleemid erinevates alamsüsteemides lahendada.

Jälgimisteenus Datadog märgib probleemi heas sõnastuses , et tema turbeuuringute meeskond suutis Windowsi juurutamise ebaõnnestuda, kasutades kontseptsiooni tõestuseks OpenSSL 3.x versiooni. Ja kuigi Linuxi juurutusi ei saa tõenäoliselt kasutada, võib siiski tekkida Linuxi juurutuste jaoks loodud kasutus.

Hollandi riiklikul küberturvakeskusel (NCSL-NL) on praegune nimekiri tarkvarast, mis on haavatav OpenSSL 3.x ärakasutamise suhtes. Paljud populaarsed Linuxi distributsioonid, virtualiseerimisplatvormid ja muud tööriistad on loetletud haavatavatena või uurimise all.