OpenSSL 3 -korjaus, joka oli kerran ”kriittinen”, mutta nyt vain ”korkea”, korjaa puskurin ylivuodon.

OpenSSL-haavoittuvuus merkittiin kerran ensimmäiseksi kriittisen tason korjaukseksi sen jälkeen, kun Internetiä muuttava Heartbleed-bugi korjattiin juuri. Lopulta se ilmestyi ”korkean” suojauksen korjauksena puskurin ylivuotoon, joka vaikuttaa kaikkiin OpenSSL 3.x -asennuksiin, mutta ei todennäköisesti johda koodin etäsuorittamiseen.

OpenSSL-versio 3.0.7 julkistettiin viime viikolla kriittisenä tietoturvakorjauksena. Tarkat haavoittuvuudet (nykyisin CVE-2022-37786 ja CVE-2022-3602 ) olivat suurelta osin tuntemattomia tähän päivään asti, mutta verkkoturva-analyytikot ja yritykset ovat vihjailleet, että niissä saattaa olla havaittavia ongelmia ja ylläpitoongelmia. Joissakin Linux-jakeluissa, mukaan lukien Fedora , on viivästynyt julkaisuja, kunnes korjaustiedosto julkaistaan. Jakelujätti Akamai totesi ennen korjausta, että puolella heidän valvomistaan ​​verkoistaan ​​oli vähintään yksi kone, jossa oli haavoittuva OpenSSL 3.x -esiintymä, ja näistä verkoista 0,2–33 prosenttia koneista oli haavoittuvia.

Mutta tietyt haavoittuvuudet – rajoitetut olosuhteet, asiakaspuolen ylivuodot, joita useimpien nykyaikaisten alustojen pinoasettelu vähentää – on nyt korjattu ja luokiteltu ”korkeiksi”. Ja koska OpenSSL 1.1.1 on edelleen pitkän aikavälin tuessa, OpenSSL 3.x ei ole yhtä laajalle levinnyt.

Haittaohjelmaasiantuntija Markus Hutchins viittaa GitHubissa tehtyyn OpenSSL-sitoutumiseen , joka kertoo koodin ongelmista: ”Korjattiin kaksi puskurin ylivuotoa koodinpurkutoiminnoissa”. Haitallinen sähköpostiosoite, joka on vahvistettu X.509-varmenteella, voi aiheuttaa tavun ylivuodon pinossa, mikä voi johtaa kaatumiseen tai mahdollisesti koodin etäsuorittamiseen alustasta ja kokoonpanosta riippuen.

Mutta tämä haavoittuvuus vaikuttaa enimmäkseen asiakkaisiin, ei palvelimiin, joten Heartbleedin kaltaista Internet-suojauksen nollausta (ja absurdia) ei todennäköisesti seuraa. Tämä saattaa vaikuttaa esimerkiksi VPN-verkkoihin, jotka käyttävät OpenSSL 3.x:ää ja kieliä, kuten Node.js. Kyberturvallisuusasiantuntija Kevin Beaumont huomauttaa, että pinon ylivuotosuojauksen pitäisi useimpien Linux-jakelujen oletuskokoonpanoissa estää koodin suorittaminen.

Mikä on muuttunut kriittisen ilmoituksen ja korkean tason julkaisun välillä? OpenSSL-tietoturvatiimi kirjoittaa blogissaan, että noin viikon kuluttua organisaatiot testasivat ja antoivat palautetta. Joissakin Linux-jakeluissa yhdessä hyökkäyksessä mahdollinen 4-tavuinen ylivuoto korvaisi viereisen puskurin, joka ei ollut vielä käytössä, eikä siksi voisi kaataa järjestelmää tai aiheuttaa koodin suorittamista. Toinen haavoittuvuus antoi hyökkääjälle mahdollisuuden määrittää vain ylivuodon pituuden, mutta ei sen sisältöä.

Joten vaikka kaatumiset ovat edelleen mahdollisia ja jotkut pinot voidaan järjestää mahdollistamaan koodin etäsuorittaminen, tämä on epätodennäköistä tai helppoa, mikä vähentää haavoittuvuuden ”korkeaksi”. OpenSSL-version 3.x toteutuksen käyttäjien tulee kuitenkin asentaa korjaustiedosto mahdollisimman pian. Ja kaikkien tulee pitää silmällä ohjelmisto- ja käyttöjärjestelmäpäivityksiä, jotka voivat korjata nämä ongelmat eri alijärjestelmissä.

Valvontapalvelu Datadog toteaa ongelman hyvässä ilmaisussa , että sen tietoturvatutkimusryhmä onnistui epäonnistumaan Windows-asennuksessa käyttämällä OpenSSL 3.x -versiota konseptin todisteena. Ja vaikka Linuxin käyttöönottoja ei todennäköisesti voida hyödyntää, ”Linux-käyttöönottoa varten rakennettu hyväksikäyttö” saattaa silti ilmaantua.

Alankomaiden kansallisella kyberturvakeskuksella (NCSL-NL) on nykyinen luettelo ohjelmistoista, jotka ovat alttiina OpenSSL 3.x -hyödyntämiselle. Lukuisat suositut Linux-jakelut, virtualisointialustat ja muut työkalut on lueteltu haavoittuvina tai tutkinnan alla.