„OpenSSL 3“ pataisa, kažkada „kritinė“, bet dabar tik „didelė“, ištaiso buferio perpildymą.

OpenSSL pažeidžiamumas kažkada buvo pažymėtas kaip pirmasis kritinio lygio pataisymas nuo tada, kai ką tik buvo ištaisyta internetą keičianti „Heartbleed“ klaida. Galiausiai tai pasirodė kaip „aukšto“ saugos pataisa, skirta buferio perpildymui, kuris turi įtakos visiems OpenSSL 3.x diegimams, tačiau mažai tikėtina, kad bus vykdomas nuotolinis kodas.

OpenSSL 3.0.7 versija praėjusią savaitę buvo paskelbta kaip svarbi saugos pataisa. Konkretūs pažeidžiamumai (dabar CVE-2022-37786 ir CVE-2022-3602 ) iki šiol buvo beveik nežinomi, tačiau žiniatinklio saugos analitikai ir įmonės užsiminė, kad gali kilti pastebimų problemų ir priežiūros problemų. Kai kurie „Linux“ platinimai, įskaitant „Fedora“ , atidėdavo leidimus, kol bus išleistas pataisas. Platinimo milžinė „Akamai“ prieš pataisydama pažymėjo, kad pusėje jų stebimų tinklų buvo bent vienas įrenginys su pažeidžiamu „OpenSSL 3.x“ egzemplioriumi, o tarp tų tinklų buvo pažeidžiami 0,2–33 procentai įrenginių.

Tačiau tam tikri pažeidžiamumai – ribotos aplinkybės, kliento pusės perpildymai, kuriuos sušvelnina dėklo išdėstymas daugelyje šiuolaikinių platformų – dabar pataisyti ir įvertinti „aukštai“. Kadangi „OpenSSL 1.1.1“ vis dar palaikomas ilgą laiką, „OpenSSL 3.x“ nėra taip plačiai paplitęs.

Kenkėjiškų programų ekspertas Markusas Hutchinsas atkreipia dėmesį į „OpenSSL“ įsipareigojimą „GitHub“ , kuriame išsamiai aprašomos su kodu susijusios problemos: „ištaisyti du buferio perpildymai kodo dekodavimo funkcijose“. Kenkėjiškas el. pašto adresas, patvirtintas X.509 sertifikatu, gali sukelti baitų perpildymą dėtuvėje, o tai gali sukelti strigtį arba potencialiai nuotolinį kodo vykdymą, atsižvelgiant į platformą ir konfigūraciją.

Tačiau šis pažeidžiamumas dažniausiai paveikia klientus, o ne serverius, todėl greičiausiai nebus atliktas interneto saugumo nustatymas iš naujo (ir absurdas), pvz., „Heartbleed“. Pavyzdžiui, gali būti paveikti VPN naudojantys OpenSSL 3.x ir tokias kalbas kaip Node.js. Kibernetinio saugumo ekspertas Kevinas Beaumontas atkreipia dėmesį į tai, kad daugumos „Linux“ platinimų numatytosiose konfigūracijose apsauga nuo dėklo perpildymo turėtų užkirsti kelią kodui vykdyti.

Kas pasikeitė tarp kritinio pranešimo ir aukšto lygio išleidimo? OpenSSL saugos komanda savo tinklaraštyje rašo , kad maždaug po savaitės organizacijos išbandė ir pateikė atsiliepimus. Kai kuriuose „Linux“ platinimuose 4 baitų perpildymas, galimas per vieną ataką, perrašytų gretimą buferį, kuris dar nebuvo naudojamas, todėl negalėtų sugriauti sistemos ar priverstinio kodo vykdyti. Kitas pažeidžiamumas leido užpuolikui nustatyti tik perpildymo ilgį, bet ne jo turinį.

Taigi, nors strigtys vis dar įmanomos, o kai kuriuos paketus galima sutvarkyti taip, kad būtų galima vykdyti kodą nuotoliniu būdu, tai mažai tikėtina arba lengva, todėl pažeidžiamumas sumažėja iki „didelio“. Tačiau bet kokio OpenSSL 3.x versijos diegimo vartotojai turėtų kuo greičiau įdiegti pataisą. Ir visi turėtų stebėti programinės įrangos ir OS naujinimus, kurie gali išspręsti šias problemas įvairiuose posistemiuose.

Stebėjimo tarnyba „Datadog“, gerai išdėstydama problemą , pažymi, kad jos saugumo tyrimų komandai nepavyko įdiegti „Windows“, naudojant „OpenSSL 3.x“ versiją kaip koncepcijos įrodymą. Ir nors mažai tikėtina, kad „Linux“ diegimas bus išnaudojamas, „Linux diegimams sukurtas išnaudojimas“ vis tiek gali atsirasti.

Nyderlandų nacionalinis kibernetinio saugumo centras (NCSL-NL) turi dabartinį programinės įrangos, pažeidžiamos OpenSSL 3.x, sąrašą . Daugelis populiarių Linux platinimų, virtualizacijos platformų ir kitų įrankių yra išvardyti kaip pažeidžiami arba tiriami.