OpenSSL 3-patchen, en gång ”kritisk” men nu bara ”hög”, fixar ett buffertspill.

OpenSSL-sårbarheten markerades en gång som den första korrigeringen på kritisk nivå sedan den Internetförändrande Heartbleed-buggen just åtgärdades. Det dök så småningom upp som en ”hög” säkerhetskorrigering för ett buffertspill som påverkar alla OpenSSL 3.x-installationer, men som sannolikt inte kommer att leda till fjärrkörning av kod.

OpenSSL version 3.0.7 tillkännagavs förra veckan som en kritisk säkerhetskorrigering. De specifika sårbarheterna (nu CVE-2022-37786 och CVE-2022-3602 ) var i stort sett okända fram till idag, men webbsäkerhetsanalytiker och företag har antytt att det kan finnas märkbara problem och underhållsproblem. Vissa Linux-distributioner, inklusive Fedora , har försenade släpp tills en patch släpps. Distributionsjätten Akamai noterade före patchen att hälften av deras övervakade nätverk hade minst en maskin med en sårbar instans av OpenSSL 3.x, och bland dessa nätverk var mellan 0,2 och 33 procent av maskinerna sårbara.

Men specifika sårbarheter – begränsade omständigheter, överflöden på klientsidan, som mildras av stacklayout på de flesta moderna plattformar – har nu korrigerats och klassats som ”hög”. Och eftersom OpenSSL 1.1.1 fortfarande stöds på lång sikt är OpenSSL 3.x inte lika utbrett.

Malware-experten Markus Hutchins pekar på en OpenSSL-commit på GitHub som beskriver problemen med koden: ”fixade två buffertspill i kodavkodningsfunktioner”. En skadlig e-postadress som validerats med ett X.509-certifikat kan orsaka ett bytespill i stacken, vilket leder till en krasch eller potentiell fjärrkörning av kod, beroende på plattform och konfiguration.

Men denna sårbarhet påverkar mestadels klienter, inte servrar, så en internetsäkerhetsåterställning (och absurditet) som Heartbleed är osannolikt att följa. Till exempel kan VPN som använder OpenSSL 3.x och språk som Node.js påverkas. Cybersäkerhetsexperten Kevin Beaumont påpekar att stackoverflow-skydd i standardkonfigurationerna för de flesta Linux-distributioner bör förhindra att kod körs.

Vad har förändrats mellan det kritiska tillkännagivandet och släppet på hög nivå? OpenSSL-säkerhetsteamet skriver på sin blogg att organisationer efter ungefär en vecka testade och gav feedback. På vissa Linux-distributioner skulle ett 4-byte-spill som är möjligt i en enda attack skriva över en intilliggande buffert som ännu inte användes och därför inte kunde krascha systemet eller få kod att exekvera. En annan sårbarhet gjorde det möjligt för en angripare att endast ställa in längden på överflödet, men inte dess innehåll.

Så även om krascher fortfarande är möjliga, och vissa stackar kan ordnas för att möjliggöra fjärrkörning av kod, är detta osannolikt eller enkelt, vilket minskar sårbarheten till ”hög”. Användare av alla implementeringar av OpenSSL version 3.x bör dock installera patchen så snart som möjligt. Och alla bör hålla utkik efter mjukvaru- och OS-uppdateringar som kan fixa dessa problem i olika delsystem.

Övervakningstjänsten Datadog, i en bra redogörelse för problemet , noterar att dess säkerhetsforskningsteam kunde misslyckas med en Windows-distribution med OpenSSL 3.x-versionen som ett bevis på konceptet. Och även om Linux-distributioner sannolikt inte kommer att kunna utnyttjas, kan en ”exploatering byggd för Linux-distributioner” fortfarande dyka upp.

National Cyber ​​​​Security Center of the Netherlands (NCSL-NL) har en aktuell lista över programvara som är sårbar för OpenSSL 3.x-exploateringen. Många populära Linux-distributioner, virtualiseringsplattformar och andra verktyg listas som sårbara eller under utredning.