Патч OpenSSL 3, когда-то «критический» уровень Heartbleed, становится менее «высоким».

The Последствия уязвимости OpenSSL, изначально обозначенной как «критическая», должны быть намного менее серьезными, чем последствия последней критической ошибки OpenSSL, Heartbleed»./>Развернуть / Последствия уязвимости OpenSSL, изначально обозначенной как «критическая», должны быть гораздо менее серьезной, чем последняя критическая ошибка OpenSSL, Heartbleed. </figure><p>Уязвимость OpenSSL когда-то сообщалась как первое исправление критического уровня с тех пор, как была исправлена ​​ошибка изменения интернет-трафика Heartbleed. Наконец, оно появилось как исправление «высокой» безопасности для переполнения буфера, которое влияет на все установки OpenSSL 3.x, но вряд ли приведет к удаленному выполнению кода.</p> <p>На прошлой неделе было объявлено, что OpenSSL версии 3.0.7 является выпуском критического исправления безопасности. Конкретные уязвимости (теперь CVE-2022-37786 и CVE-2022-3602) были в значительной степени неизвестны до сегодняшнего дня, но аналитики веб-безопасности и компании намекнули, что могут быть заметные проблемы и проблемы с обслуживанием. Некоторые дистрибутивы Linux, в том числе Fedora, откладывают выпуск до тех пор, пока не будет выпущено исправление. Гигант розничной торговли Akamai перед патчем отмечал, что в половине контролируемых им сетей есть по крайней мере одна машина с уязвимым экземпляром OpenSSL 3.x, и среди этих сетей уязвимыми являются от 0,2 до 33 % машин.< /p> <p>Однако конкретные уязвимости (переполнения на стороне клиента в ограниченных обстоятельствах, которые смягчаются компоновкой стека на большинстве современных платформ) теперь исправлены и оценены как

Эксперт по вредоносным программам Маркус Хатчинс указывает на фиксацию OpenSSL на GitHub, в которой подробно описаны проблемы с кодом: «исправлено два переполнения буфера в функциях декодирования ничтожного кода». Вредоносный адрес электронной почты, подтвержденный сертификатом X.509, может привести к переполнению стека, что приведет к сбою или удаленному выполнению кода, в зависимости от платформы и конфигурации.

Но эта уязвимость в первую очередь влияет на клиентов, а не на серверы, поэтому такого же сброса безопасности в Интернете (и ерунды), как Heartbleed, скорее всего не последует. Например, могут быть затронуты VPN, использующие OpenSSL 3.x, и такие языки, как Node.js. Эксперт по кибербезопасности Кевин Бомонт отмечает, что защита от переполнения стека в стандартных конфигурациях большинства дистрибутивов Linux должна предотвращать выполнение кода.

Что изменилось между объявлением критического уровня и выпуском высокого уровня? Группа безопасности OpenSSL пишет в своем блоге, что примерно через неделю организации проводят тестирование и предоставляют отзывы. В некоторых дистрибутивах Linux 4-байтовое переполнение, возможное при атаке, приводило к перезаписи соседнего неиспользуемого буфера и, следовательно, не могло привести к сбою системы или выполнению кода. Другая уязвимость позволяла злоумышленнику устанавливать только продолжительность переполнения, но не содержание.

Таким образом, несмотря на то, что сбои всегда возможны, а некоторые стеки могут быть организованы таким образом, чтобы сделать возможным удаленное выполнение кода, это маловероятно и легко, что снижает уровень уязвимости до "высокого" . Однако пользователям любой реализации OpenSSL 3.x следует исправить ошибку как можно скорее. И каждый должен проверять наличие обновлений программного обеспечения и операционной системы, которые могут исправить эти проблемы в различных подсистемах.

Служба мониторинга Datadog в кратком изложении проблемы отмечает, что ее исследовательская группа смогла привести к сбою развертывания Windows с использованием версии OpenSSL 3.x в качестве доказательства концепции. И хотя развертывание Linux, вероятно, не работает, «...

  Технологии   Nov 2, 2022   0   40  Add to Reading List
Патч OpenSSL 3, когда-то «критический» уровень Heartbleed, становится менее «высоким».
The Последствия уязвимости OpenSSL, изначально обозначенной как «критическая», должны быть намного менее серьезными, чем последствия последней критической ошибки OpenSSL, Heartbleed»./>Развернуть / Последствия уязвимости OpenSSL, изначально обозначенной как «критическая», должны быть гораздо менее серьезной, чем последняя критическая ошибка OpenSSL, Heartbleed. </figure><p>Уязвимость OpenSSL когда-то сообщалась как первое исправление критического уровня с тех пор, как была исправлена ​​ошибка изменения интернет-трафика Heartbleed. Наконец, оно появилось как исправление «высокой» безопасности для переполнения буфера, которое влияет на все установки OpenSSL 3.x, но вряд ли приведет к удаленному выполнению кода.</p> <p>На прошлой неделе было объявлено, что OpenSSL версии 3.0.7 является выпуском критического исправления безопасности. Конкретные уязвимости (теперь CVE-2022-37786 и CVE-2022-3602) были в значительной степени неизвестны до сегодняшнего дня, но аналитики веб-безопасности и компании намекнули, что могут быть заметные проблемы и проблемы с обслуживанием. Некоторые дистрибутивы Linux, в том числе Fedora, откладывают выпуск до тех пор, пока не будет выпущено исправление. Гигант розничной торговли Akamai перед патчем отмечал, что в половине контролируемых им сетей есть по крайней мере одна машина с уязвимым экземпляром OpenSSL 3.x, и среди этих сетей уязвимыми являются от 0,2 до 33 % машин.< /p> <p>Однако конкретные уязвимости (переполнения на стороне клиента в ограниченных обстоятельствах, которые смягчаются компоновкой стека на большинстве современных платформ) теперь исправлены и оценены как

Эксперт по вредоносным программам Маркус Хатчинс указывает на фиксацию OpenSSL на GitHub, в которой подробно описаны проблемы с кодом: «исправлено два переполнения буфера в функциях декодирования ничтожного кода». Вредоносный адрес электронной почты, подтвержденный сертификатом X.509, может привести к переполнению стека, что приведет к сбою или удаленному выполнению кода, в зависимости от платформы и конфигурации.

Но эта уязвимость в первую очередь влияет на клиентов, а не на серверы, поэтому такого же сброса безопасности в Интернете (и ерунды), как Heartbleed, скорее всего не последует. Например, могут быть затронуты VPN, использующие OpenSSL 3.x, и такие языки, как Node.js. Эксперт по кибербезопасности Кевин Бомонт отмечает, что защита от переполнения стека в стандартных конфигурациях большинства дистрибутивов Linux должна предотвращать выполнение кода.

Что изменилось между объявлением критического уровня и выпуском высокого уровня? Группа безопасности OpenSSL пишет в своем блоге, что примерно через неделю организации проводят тестирование и предоставляют отзывы. В некоторых дистрибутивах Linux 4-байтовое переполнение, возможное при атаке, приводило к перезаписи соседнего неиспользуемого буфера и, следовательно, не могло привести к сбою системы или выполнению кода. Другая уязвимость позволяла злоумышленнику устанавливать только продолжительность переполнения, но не содержание.

Таким образом, несмотря на то, что сбои всегда возможны, а некоторые стеки могут быть организованы таким образом, чтобы сделать возможным удаленное выполнение кода, это маловероятно и легко, что снижает уровень уязвимости до "высокого" . Однако пользователям любой реализации OpenSSL 3.x следует исправить ошибку как можно скорее. И каждый должен проверять наличие обновлений программного обеспечения и операционной системы, которые могут исправить эти проблемы в различных подсистемах.

Служба мониторинга Datadog в кратком изложении проблемы отмечает, что ее исследовательская группа смогла привести к сбою развертывания Windows с использованием версии OpenSSL 3.x в качестве доказательства концепции. И хотя развертывание Linux, вероятно, не работает, «...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow