Патч OpenSSL 3, когда-то «критический» уровень Heartbleed, становится менее «высоким».
Патч OpenSSL 3, когда-то «критический» уровень Heartbleed, становится менее «высоким».
Эксперт по вредоносным программам Маркус Хатчинс указывает на фиксацию OpenSSL на GitHub, в которой подробно описаны проблемы с кодом: «исправлено два переполнения буфера в функциях декодирования ничтожного кода». Вредоносный адрес электронной почты, подтвержденный сертификатом X.509, может привести к переполнению стека, что приведет к сбою или удаленному выполнению кода, в зависимости от платформы и конфигурации.
Но эта уязвимость в первую очередь влияет на клиентов, а не на серверы, поэтому такого же сброса безопасности в Интернете (и ерунды), как Heartbleed, скорее всего не последует. Например, могут быть затронуты VPN, использующие OpenSSL 3.x, и такие языки, как Node.js. Эксперт по кибербезопасности Кевин Бомонт отмечает, что защита от переполнения стека в стандартных конфигурациях большинства дистрибутивов Linux должна предотвращать выполнение кода.
Что изменилось между объявлением критического уровня и выпуском высокого уровня? Группа безопасности OpenSSL пишет в своем блоге, что примерно через неделю организации проводят тестирование и предоставляют отзывы. В некоторых дистрибутивах Linux 4-байтовое переполнение, возможное при атаке, приводило к перезаписи соседнего неиспользуемого буфера и, следовательно, не могло привести к сбою системы или выполнению кода. Другая уязвимость позволяла злоумышленнику устанавливать только продолжительность переполнения, но не содержание.
Таким образом, несмотря на то, что сбои всегда возможны, а некоторые стеки могут быть организованы таким образом, чтобы сделать возможным удаленное выполнение кода, это маловероятно и легко, что снижает уровень уязвимости до "высокого" . Однако пользователям любой реализации OpenSSL 3.x следует исправить ошибку как можно скорее. И каждый должен проверять наличие обновлений программного обеспечения и операционной системы, которые могут исправить эти проблемы в различных подсистемах.
Служба мониторинга Datadog в кратком изложении проблемы отмечает, что ее исследовательская группа смогла привести к сбою развертывания Windows с использованием версии OpenSSL 3.x в качестве доказательства концепции. И хотя развертывание Linux, вероятно, не работает, «...
Эксперт по вредоносным программам Маркус Хатчинс указывает на фиксацию OpenSSL на GitHub, в которой подробно описаны проблемы с кодом: «исправлено два переполнения буфера в функциях декодирования ничтожного кода». Вредоносный адрес электронной почты, подтвержденный сертификатом X.509, может привести к переполнению стека, что приведет к сбою или удаленному выполнению кода, в зависимости от платформы и конфигурации.
Но эта уязвимость в первую очередь влияет на клиентов, а не на серверы, поэтому такого же сброса безопасности в Интернете (и ерунды), как Heartbleed, скорее всего не последует. Например, могут быть затронуты VPN, использующие OpenSSL 3.x, и такие языки, как Node.js. Эксперт по кибербезопасности Кевин Бомонт отмечает, что защита от переполнения стека в стандартных конфигурациях большинства дистрибутивов Linux должна предотвращать выполнение кода.
Что изменилось между объявлением критического уровня и выпуском высокого уровня? Группа безопасности OpenSSL пишет в своем блоге, что примерно через неделю организации проводят тестирование и предоставляют отзывы. В некоторых дистрибутивах Linux 4-байтовое переполнение, возможное при атаке, приводило к перезаписи соседнего неиспользуемого буфера и, следовательно, не могло привести к сбою системы или выполнению кода. Другая уязвимость позволяла злоумышленнику устанавливать только продолжительность переполнения, но не содержание.
Таким образом, несмотря на то, что сбои всегда возможны, а некоторые стеки могут быть организованы таким образом, чтобы сделать возможным удаленное выполнение кода, это маловероятно и легко, что снижает уровень уязвимости до "высокого" . Однако пользователям любой реализации OpenSSL 3.x следует исправить ошибку как можно скорее. И каждый должен проверять наличие обновлений программного обеспечения и операционной системы, которые могут исправить эти проблемы в различных подсистемах.
Служба мониторинга Datadog в кратком изложении проблемы отмечает, что ее исследовательская группа смогла привести к сбою развертывания Windows с использованием версии OpenSSL 3.x в качестве доказательства концепции. И хотя развертывание Linux, вероятно, не работает, «...