Le patch OpenSSL 3, autrefois « critique » mais maintenant juste « élevé », corrige un débordement de tampon.

La vulnérabilité OpenSSL a déjà été marquée comme le premier correctif de niveau critique depuis que le bogue Heartbleed altérant Internet vient d’être corrigé. Il est finalement apparu comme un correctif de sécurité « élevé » pour un débordement de tampon qui affecte toutes les installations d’OpenSSL 3.x, mais il est peu probable qu’il entraîne l’exécution de code à distance.

La version 3.0.7 d’OpenSSL a été annoncée la semaine dernière comme un correctif de sécurité critique. Les vulnérabilités spécifiques (maintenant CVE-2022-37786 et CVE-2022-3602 ) étaient largement inconnues jusqu’à aujourd’hui, mais les analystes et les entreprises de sécurité Web ont laissé entendre qu’il pourrait y avoir des problèmes notables et des problèmes de maintenance. Certaines distributions Linux, y compris Fedora , ont retardé les versions jusqu’à ce qu’un correctif soit publié. Le géant de la distribution Akamai a noté avant le patch que la moitié de leurs réseaux surveillés avaient au moins une machine avec une instance vulnérable d’OpenSSL 3.x, et parmi ces réseaux entre 0,2 et 33 % des machines étaient vulnérables.

Mais des vulnérabilités spécifiques – circonstances limitées, débordements côté client, qui sont atténuées par la disposition de la pile sur la plupart des plates-formes modernes – ont maintenant été corrigées et classées «élevées». Et comme OpenSSL 1.1.1 est toujours pris en charge à long terme, OpenSSL 3.x n’est pas aussi répandu.

L’expert en logiciels malveillants Markus Hutchins pointe vers un commit OpenSSL sur GitHub qui détaille les problèmes avec le code : « correction de deux dépassements de mémoire tampon dans les fonctions de décodage de code ». Une adresse email malveillante validée avec un certificat X.509 peut provoquer un débordement d’octets sur la pile, conduisant à un plantage ou potentiellement à l’exécution de code à distance, selon la plateforme et la configuration.

Mais cette vulnérabilité affecte principalement les clients, pas les serveurs, il est donc peu probable qu’une réinitialisation de la sécurité Internet (et une absurdité) comme Heartbleed suive. Par exemple, les VPN utilisant OpenSSL 3.x et des langages tels que Node.js peuvent être affectés. L’expert en cybersécurité Kevin Beaumont souligne que la protection contre le débordement de pile dans les configurations par défaut de la plupart des distributions Linux devrait empêcher l’exécution du code.

Qu’est-ce qui a changé entre l’annonce critique et la version de haut niveau ? L’équipe de sécurité OpenSSL écrit sur son blog qu’après environ une semaine, les organisations ont testé et fourni des commentaires. Sur certaines distributions Linux, un débordement de 4 octets possible en une seule attaque écraserait un tampon adjacent qui n’était pas encore utilisé, et ne pourrait donc pas faire planter le système ou provoquer l’exécution de code. Une autre vulnérabilité permettait à un attaquant de définir uniquement la durée du débordement, mais pas son contenu.

Ainsi, bien que des plantages soient toujours possibles et que certaines piles puissent être agencées pour permettre l’exécution de code à distance, cela est peu probable ou facile, ce qui réduit la vulnérabilité à « élevée ». Cependant, les utilisateurs de toute implémentation d’OpenSSL version 3.x doivent installer le correctif dès que possible. Et tout le monde devrait garder un œil sur les mises à jour logicielles et du système d’exploitation qui peuvent résoudre ces problèmes dans divers sous-systèmes.

Le service de surveillance Datadog, dans un bon énoncé du problème , note que son équipe de recherche en sécurité a pu faire échouer un déploiement Windows en utilisant la version OpenSSL 3.x comme preuve de concept. Et s’il est peu probable que les déploiements Linux soient exploitables, un « exploit conçu pour les déploiements Linux » pourrait encore émerger.

Le Centre national de cybersécurité des Pays-Bas (NCSL-NL) dispose d’une liste à jour des logiciels vulnérables à l’exploit OpenSSL 3.x. De nombreuses distributions Linux populaires, plates-formes de virtualisation et autres outils sont répertoriés comme vulnérables ou sous enquête.