Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

OpenSSL patchar är ute – KRITISK bugg nedgraderad till HÖG, men patch ändå!

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 134

by
Paul Ducklin

Vi börjar med det viktiga: de efterlängtade OpenSSL-buggfixarna som tillkännagavs förra veckan är ute.

OpenSSL 1.1.1 går till version 1.1.1s, och korrigerar en listad säkerhetsrelaterad bugg, men denna bugg har inte en säkerhetsklassning eller ett officiellt CVE-nummer.

Vi rekommenderar starkt att du uppdaterar, men den KRITISKA uppdateringen som du kommer att ha sett i cybersäkerhetsmedia gäller inte för denna version.

OpenSSL 3.0 går till version 3.0.7, och korrigerar inte en utan två CVE-numrerade säkerhetsbuggar som är officiellt utsedda med HÖG allvarlighetsgrad.

Vi rekommenderar starkt att du uppdaterar, med så mycket brådska som du kan uppbåda, men den KRITISKA korrigeringen som alla har pratat om har nu nedgraderats till HÖG svårighetsgrad.

Detta återspeglar OpenSSL-teamets åsikt:

Förhandsmeddelanden av CVE-2022-3602 beskrev detta problem som KRITISKT. Ytterligare analys baserad på några av de förmildrande faktorerna som beskrivs [i release notes] har lett till att detta har nedgraderats till HÖG. Användare uppmanas fortfarande att uppgradera till en ny version så snart som möjligt.

Ironiskt nog, en andra och liknande bugg, dubbad CVE-2022-3786, upptäcktes medan korrigeringen för CVE-2022-3602 förbereddes.

Den ursprungliga buggen tillåter bara en angripare att korrumpera fyra byte på stacken, vilket begränsar hålets exploatering, medan den andra buggen tillåter en obegränsad mängd stackspill, men uppenbarligen bara av "dot"-tecknet (ASCII 46 eller 0x2E ) upprepas om och om igen.

Båda sårbarheterna avslöjas under TLS-certifikatverifiering, där en booby-fälld klient eller server "identifierar" sig själv för servern eller klienten i andra änden med ett avsiktligt felaktigt TLS-certifikat.

Även om dessa typer av stack overflow (en av begränsad storlek och den andra med begränsade datavärden) låter som om de kommer att vara svåra att utnyttja för kodexekvering (särskilt i 64-bitars programvara, där fyra byte bara är hälften av en minnesadress) …

...de är nästan säkra på att vara lätta att utnyttja för DoS (denial of service)-attacker, där avsändaren av ett oseriöst certifikat kan krascha mottagaren av det certifikatet efter behag.

Lyckligtvis involverar de flesta TLS-utbyten klienter som verifierar servercertifikat, och inte tvärtom.

De flesta webbservrar, till exempel, kräver inte att besökarna identifierar sig med ett certifikat innan de tillåter dem att läsa webbplatsen, så "kraschriktningen" för alla fungerande bedrifter är sannolikt oseriösa servrar som kraschar olyckliga besökare, vilket allmänt anses vara mycket mindre allvarligt än servrar som kraschar varje gång de bläddras till av en enda oseriös besökare.

Icke desto mindre måste varje teknik med vilken en hackad webb- eller e-postserver utan vilje kan krascha en besökande webbläsare eller e-postapp anses vara farlig, inte minst eftersom varje försök från klientprogramvaran att försöka ansluta igen kommer att resultera i att appen kraschar om och om igen och om igen. om igen.

Du vill därför definitivt plåster mot detta så snart du kan.

Vad göra?

Som nämnts ovan behöver du OpenSSL 1.1.1s or Öppna SSL 3.0.7 för att ersätta vilken version du än har för tillfället.

OpenSSL 1.1.1s får en säkerhetskorrigering som beskrivs som fixande "en regression [en gammal bugg som dök upp igen] införd i OpenSSL 1.1.1r som inte uppdaterar certifikatdata som ska signeras innan certifikatet signeras", den buggen har inte en allvarlighetsgrad eller en CVE tilldelad...

…men låt inte det hindra dig från att uppdatera så snart du kan.

Öppna SSL 3.0.7 får de två CVE-numrerade HIGH-severity-fixarna som anges ovan, och även om de inte låter riktigt lika skrämmande nu som de gjorde i nyhetsfesten som ledde fram till den här releasen, bör du anta att:

  • Många angripare kommer snabbt att ta reda på hur man kan utnyttja dessa hål för DoS-ändamål. Det kan i bästa fall orsaka störningar i arbetsflödet och i värsta fall problem med cybersäkerhet, särskilt om buggen kan missbrukas för att sakta ner eller bryta viktiga automatiserade processer (som uppdateringar) i ditt IT-ekosystem.
  • Vissa angripare kanske kan tvista om dessa buggar för fjärrkörning av kod. Detta skulle ge kriminella en god chans att använda booby-fällda webbservrar för att undergräva klientprogramvara som används för säkra nedladdningar i ditt eget företag.
  • Om ett proof-of-concept (PoC) hittas kommer det att locka stort intresse. Som ni kommer ihåg från Log4Shell, så fort PoCs publicerades, hoppade tusentals självutnämnda "forskare" på scan-the-internet-and-attack-as-you-go-tåget under sken av att "hjälpa" människor att hitta problem i deras nätverk.

Observera att OpenSSL 1.0.2 fortfarande stöds och uppdateras, men endast privat, för kunder som har betalat kontrakt med OpenSSL-teamet, varför vi inte har någon information att avslöja om det här, förutom att bekräfta att CVE:n -numrerade buggar i OpenSSL 3.0 gäller inte för OpenSSL 1.0.2-serien.

Du kan Läs mer, och få din OpenSSL-uppdateringar, från OpenSSL webbplats.

Observera också att Googles BoringSSL bibliotek, Firefox Nätverkssäkerhetstjänster (NSS) och OpenBSD:s LibreSSL, som alla tillhandahåller liknande funktionalitet som OpenSSL (och i fallet med LibreSSL, är nära kompatibla med det) är alla opåverkade av dessa buggar.

Åh, och om PoC:er börjar dyka upp online, snälla var inte en smart träsko och börja "prova" dessa PoCs mot andras datorer under intrycket att du "hjälper till" med någon form av "forskning".

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.