OpenSSL 3 補丁曾經是“關鍵”,但現在只是“高”,修復了緩衝區溢出問題。
OpenSSL 漏洞一度被標記為自改變互聯網的 Heartbleed 漏洞剛剛修復以來第一個關鍵級別的修復。它最終作為緩衝區溢出的“高”安全修復程序出現,該緩衝區溢出影響所有 OpenSSL 3.x 安裝,但不太可能導致遠程代碼執行。
OpenSSL 3.0.7 版本於上周 作為關鍵安全補丁發布。直到今天,具體漏洞(現在的CVE-2022-37786 和 CVE-2022-3602)基本上還是未知的,但網絡安全分析師和公司暗示可能存在明顯的問題和維護問題。包括 Fedora 在內的一些 Linux 發行版已推遲發布,直到發布補丁為止。發行巨頭 Akamai在補丁發布之前指出,他們監控的網絡中有一半至少有一台機器存在 OpenSSL 3.x 的易受攻擊實例,而這些網絡中 0.2% 到 33% 的機器容易受到攻擊。
但特定的漏洞——有限的情況、客戶端溢出,可以通過大多數現代平台上的堆棧佈局來緩解——現在已經被修補並被評為“高”。由於 OpenSSL 1.1.1 仍處於長期支持狀態,因此 OpenSSL 3.x 的普及程度並不高。
惡意軟件專家 Markus Hutchins 指出GitHub上的 OpenSSL 提交詳細說明了代碼問題:“修復了代碼解碼函數中的兩個緩衝區溢出問題”。使用 X.509 證書驗證的惡意電子郵件地址可能會導致堆棧上的字節溢出,從而導致崩潰或潛在的遠程代碼執行,具體取決於平台和配置。
但這個漏洞主要影響客戶端,而不是服務器,因此像 Heartbleed 這樣的互聯網安全重置(和荒謬)不太可能發生。例如,使用 OpenSSL 3.x 和 Node.js 等語言的 VPN 可能會受到影響。網絡安全專家 Kevin Beaumont 指出,大多數 Linux 發行版默認配置中的堆棧溢出保護應該會阻止代碼執行。
關鍵公告和高層發布之間發生了什麼變化?OpenSSL 安全團隊在他們的博客上寫道,大約一周後,組織進行了測試並提供了反饋。在某些 Linux 發行版上,單次攻擊中可能出現的 4 字節溢出會覆蓋尚未使用的相鄰緩衝區,因此不會使系統崩潰或導致代碼執行。另一個漏洞允許攻擊者僅設置溢出的長度,而不能設置其內容。
因此,雖然崩潰仍然是可能的,並且可以安排一些堆棧以允許遠程代碼執行,但這不太可能或很容易,從而將漏洞降低到“高”。但是,任何 OpenSSL 版本 3.x 實施的用戶都應盡快安裝該補丁。每個人都應該留意可以解決各個子系統中這些問題的軟件和操作系統更新。
監控服務 Datadog 在對該問題的詳細說明中指出,其安全研究團隊能夠使用 OpenSSL 3.x 版本作為概念證明來使 Windows 部署失敗。儘管 Linux 部署不太可能被利用,但“為 Linux 部署構建的漏洞”仍然可能出現。
荷蘭國家網絡安全中心 (NCSL-NL) 擁有一份最新的易受 OpenSSL 3.x 漏洞攻擊的軟件列表。許多流行的 Linux 發行版、虛擬化平台和其他工具都被列為易受攻擊或正在接受調查。
發佈留言