Патч OpenSSL 3, колись «критичний», а тепер просто «високий», усуває переповнення буфера.

Уразливість OpenSSL колись була позначена як перше виправлення критичного рівня після того, як було щойно виправлено помилку Heartbleed, що змінює Інтернет. Зрештою це виявилося як виправлення «високого» рівня безпеки для переповнення буфера, яке впливає на всі інсталяції OpenSSL 3.x, але навряд чи призведе до віддаленого виконання коду.

OpenSSL версії 3.0.7 було оголошено минулого тижня як важливе виправлення безпеки. Конкретні уразливості (тепер CVE-2022-37786 і CVE-2022-3602 ) були здебільшого невідомі до сьогодні, але аналітики веб-безпеки та компанії натякнули, що можуть бути помітні проблеми та проблеми з обслуговуванням. Деякі дистрибутиви Linux, у тому числі Fedora , мають відкладені випуски, доки не буде випущено виправлення. Дистриб’юторський гігант Akamai зазначив перед виправленням, що половина їхніх мереж, які контролюються, мала принаймні одну машину з уразливим екземпляром OpenSSL 3.x, і серед цих мереж від 0,2 до 33 відсотків машин були вразливими.

Але конкретні вразливості – обмежені обставини, переповнення на стороні клієнта, які пом’якшуються компонуванням стека на більшості сучасних платформ – тепер виправлено та оцінено як «високий». І оскільки OpenSSL 1.1.1 все ще підтримується довгостроково, OpenSSL 3.x не настільки широко поширений.

Експерт зі зловмисного програмного забезпечення Маркус Хатчінс вказує на комміт OpenSSL на GitHub , у якому детально описуються проблеми з кодом: «виправлено два переповнення буфера у функціях декодування коду». Зловмисна адреса електронної пошти, підтверджена сертифікатом X.509, може спричинити переповнення байтів у стеку, що призведе до збою або потенційно віддаленого виконання коду, залежно від платформи та конфігурації.

Але ця вразливість здебільшого впливає на клієнтів, а не на сервери, тому скидання безпеки в Інтернеті (і абсурд), як-от Heartbleed, навряд чи відбудеться. Наприклад, це може вплинути на VPN, які використовують OpenSSL 3.x і такі мови, як Node.js. Експерт з кібербезпеки Кевін Бомонт зазначає , що захист від переповнення стека в конфігураціях за замовчуванням більшості дистрибутивів Linux має запобігати виконанню коду.

Що змінилося між критичним оголошенням і релізом високого рівня? Команда безпеки OpenSSL пише у своєму блозі , що приблизно через тиждень організації протестували та надали відгуки. У деяких дистрибутивах Linux 4-байтове переповнення, можливе під час однієї атаки, перезапише сусідній буфер, який ще не використовувався, і, отже, не може привести до збою системи або спричинити виконання коду. Інша вразливість дозволяла зловмиснику встановлювати лише довжину переповнення, але не його вміст.

Отже, хоча збої все ще можливі, і деякі стеки можна організувати, щоб дозволити віддалене виконання коду, це малоймовірно або легко, зменшуючи вразливість до «високої». Однак користувачі будь-якої реалізації OpenSSL версії 3.x повинні якомога швидше встановити виправлення. І кожен повинен стежити за оновленнями програмного забезпечення та ОС, які можуть вирішити ці проблеми в різних підсистемах.

Служба моніторингу Datadog у гарному викладі проблеми зазначає, що її дослідницька група змогла не впровадити Windows, використовуючи версію OpenSSL 3.x як доказ концепції. І хоча розгортання Linux навряд чи можна використовувати, «експлойт, створений для розгортання Linux», все ж може з’явитися.

Національний центр кібербезпеки Нідерландів (NCSL-NL) має поточний список програмного забезпечення, вразливого до експлойту OpenSSL 3.x. Численні популярні дистрибутиви Linux, платформи віртуалізації та інші інструменти внесені до списку вразливих або досліджуваних.