Патч OpenSSL 3, когда-то «критический», а теперь просто «высокий», исправляет переполнение буфера.

Патч OpenSSL 3, когда-то «критический», а теперь просто «высокий», исправляет переполнение буфера.

Уязвимость OpenSSL когда-то была отмечена как первое исправление критического уровня с тех пор, как только что была исправлена ​​ошибка Heartbleed, изменяющая Интернет. В конечном итоге он появился как исправление «высокой» безопасности для переполнения буфера, которое затрагивает все установки OpenSSL 3.x, но вряд ли приведет к удаленному выполнению кода.

OpenSSL версии 3.0.7 был анонсирован на прошлой неделе  как выпуск критического исправления безопасности. Конкретные уязвимости (теперь CVE-2022-37786 и CVE-2022-3602) были в значительной степени неизвестны до сегодняшнего дня, но аналитики и компании в области веб-безопасности намекнули, что могут быть заметные проблемы и проблемы с обслуживанием. Некоторые дистрибутивы Linux, в том числе Fedora, откладывали выпуск релизов до выхода патча. Гигант дистрибуции  Akamai перед патчем отметил, что половина их отслеживаемых сетей имеет по крайней мере одну машину с уязвимым экземпляром OpenSSL 3.x, и среди этих сетей от 0,2 до 33 процентов машин были уязвимы.

Но конкретные уязвимости — ограниченные обстоятельства, переполнения на стороне клиента, которые смягчаются компоновкой стека на большинстве современных платформ — теперь исправлены и оцениваются как «высокие». А поскольку OpenSSL 1.1.1 все еще находится в стадии долгосрочной поддержки, OpenSSL 3.x не так широко распространен.

Эксперт по вредоносным программам Маркус Хатчинс указывает на коммит OpenSSL на GitHub, в котором подробно описаны проблемы с кодом: «исправлено два переполнения буфера в функциях декодирования кода». Вредоносный адрес электронной почты, подтвержденный сертификатом X.509, может привести к переполнению байтов в стеке, что приведет к сбою или потенциально удаленному выполнению кода, в зависимости от платформы и конфигурации.

Но эта уязвимость в основном затрагивает клиентов, а не серверы, поэтому такой сброс безопасности в Интернете (и абсурдность), как Heartbleed, вряд ли последует. Например, могут быть затронуты VPN, использующие OpenSSL 3.x, и такие языки, как Node.js. Эксперт по кибербезопасности Кевин Бомонт отмечает, что защита от переполнения стека в конфигурациях по умолчанию большинства дистрибутивов Linux должна предотвращать выполнение кода.

Что изменилось между объявлением критического уровня и релизом высокого уровня? Команда безопасности OpenSSL пишет в своем блоге, что примерно через неделю организации провели тестирование и предоставили отзывы. В некоторых дистрибутивах Linux 4-байтовое переполнение, возможное при одной атаке, перезаписывало соседний буфер, который еще не использовался, и поэтому не могло привести к сбою системы или выполнению кода. Другая уязвимость позволяла злоумышленнику устанавливать только длину переполнения, но не его содержимое.

Таким образом, хотя сбои все еще возможны, а некоторые стеки могут быть организованы таким образом, чтобы сделать возможным удаленное выполнение кода, это маловероятно или легко, что снижает уровень уязвимости до «высокого». Тем не менее, пользователи любой реализации OpenSSL версии 3.x должны установить патч как можно скорее. И все должны следить за обновлениями программного обеспечения и ОС, которые могут исправить эти проблемы в различных подсистемах.

Служба мониторинга Datadog в хорошем изложении проблемы отмечает, что ее исследовательская группа по безопасности смогла привести к сбою развертывания Windows с использованием версии OpenSSL 3.x в качестве доказательства концепции. И хотя развертывания Linux вряд ли можно использовать, «эксплойт, созданный для развертываний Linux», все же может появиться.

Национальный центр кибербезопасности Нидерландов (NCSL-NL) имеет текущий список программного обеспечения, уязвимого для эксплойта OpenSSL 3.x. Многочисленные популярные дистрибутивы Linux, платформы виртуализации и другие инструменты перечислены как уязвимые или находящиеся под следствием.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *