OpenSSL 3 ielāps, kas kādreiz bija “kritisks”, bet tagad tikai “augsts”, novērš bufera pārplūdi.

OpenSSL ievainojamība savulaik tika atzīmēta kā pirmais kritiskā līmeņa labojums, kopš tikko tika novērsta interneta darbību mainošā Heartbleed kļūda. Galu galā tas parādījās kā “augstas” drošības labojums bufera pārpildei, kas ietekmē visas OpenSSL 3.x instalācijas, taču maz ticams, ka tas izraisīs attālu koda izpildi.

OpenSSL versija 3.0.7 tika paziņota pagājušajā nedēļā kā kritisks drošības ielāps. Konkrētās ievainojamības (tagad CVE-2022-37786 un CVE-2022-3602 ) līdz šim lielākoties nebija zināmas, taču tīmekļa drošības analītiķi un uzņēmumi ir devuši mājienus, ka var būt pamanāmas problēmas un uzturēšanas problēmas. Dažiem Linux izplatījumiem, tostarp Fedora , laidieni ir aizkavēti, līdz tiek izlaists ielāps. Izplatīšanas gigants Akamai pirms ielāpa atzīmēja, ka pusei viņu uzraudzīto tīklu bija vismaz viena iekārta ar neaizsargātu OpenSSL 3.x gadījumu, un starp šiem tīkliem 0,2–33 procenti iekārtu bija ievainojami.

Taču konkrētas ievainojamības — ierobežoti apstākļi, klienta puses pārpildīšana, ko mazina steka izkārtojums lielākajā daļā moderno platformu — tagad ir izlabotas un novērtētas kā “augsts”. Un tā kā OpenSSL 1.1.1 joprojām tiek atbalstīts ilgstoši, OpenSSL 3.x nav tik plaši izplatīts.

Ļaunprātīgas programmatūras eksperts Markuss Hačins norāda uz OpenSSL apņemšanos vietnē GitHub , kurā sīki aprakstītas problēmas ar kodu: “novērstas divas bufera pārpildes koda dekodēšanas funkcijās”. Ļaunprātīga e-pasta adrese, kas apstiprināta ar X.509 sertifikātu, var izraisīt baitu pārplūdi stekā, izraisot avāriju vai potenciāli attālu koda izpildi atkarībā no platformas un konfigurācijas.

Taču šī ievainojamība galvenokārt skar klientus, nevis serverus, tāpēc interneta drošības atiestatīšana (un absurds), piemēram, Heartbleed, visticamāk, nenotiks. Piemēram, var tikt ietekmēti VPN, kas izmanto OpenSSL 3.x un valodas, piemēram, Node.js. Kiberdrošības eksperts Kevins Bomonts norāda, ka steka pārpildes aizsardzībai lielākajā daļā Linux izplatījumu noklusējuma konfigurācijās vajadzētu novērst koda izpildi.

Kas ir mainījies starp kritisko paziņojumu un augsta līmeņa izlaidumu? OpenSSL drošības komanda savā emuārā raksta , ka aptuveni pēc nedēļas organizācijas pārbaudīja un sniedza atsauksmes. Dažos Linux izplatījumos 4 baitu pārpilde, kas iespējama vienā uzbrukumā, pārrakstītu blakus esošu buferi, kas vēl netika izmantots, un tādējādi nevarētu avarēt sistēmu vai izraisīt koda izpildi. Vēl viena ievainojamība ļāva uzbrucējam iestatīt tikai pārplūdes ilgumu, bet ne tā saturu.

Tātad, lai gan joprojām ir iespējamas avārijas un dažus skursteņus var sakārtot, lai atļautu attālinātu koda izpildi, tas ir maz ticams vai vienkārši, samazinot ievainojamību līdz “augstam”. Tomēr jebkuras OpenSSL versijas 3.x ieviešanas lietotājiem ir jāinstalē ielāps pēc iespējas ātrāk. Un ikvienam vajadzētu sekot līdzi programmatūras un OS atjauninājumiem, kas var novērst šīs problēmas dažādās apakšsistēmās.

Uzraudzības pakalpojums Datadog, labi izklāstot problēmu , atzīmē, ka tā drošības izpētes grupai izdevās neveiksmīga Windows izvietošana, izmantojot OpenSSL 3.x versiju kā koncepcijas pierādījumu. Un, lai gan ir maz ticams, ka Linux izvietošana būs izmantojama, joprojām varētu parādīties “ekspluatācija, kas izstrādāta Linux izvietošanai”.

Nīderlandes Nacionālajā kiberdrošības centrā (NCSL-NL) ir pašreizējais programmatūras saraksts , kas ir neaizsargāta pret OpenSSL 3.x izmantošanu. Daudzi populāri Linux izplatījumi, virtualizācijas platformas un citi rīki ir uzskaitīti kā neaizsargāti vai tiek izmeklēti.