Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию.
В последнюю неделю октября 2022 года OpenSSL Project обнаружил две уязвимости в библиотеке OpenSSL. И CVE-2022-360, и CVE-2022-3786 были помечены как «высокие» проблемы с оценкой CVSS 8,8, что всего на 0,2 балла ниже, чем то, что необходимо для того, чтобы считать их «критическими».
Проблема заключается в процессе проверки сертификатов, который OpenSSL выполняет для аутентификации на основе сертификатов. Эксплуатация уязвимостей может позволить злоумышленнику запустить атаку типа «отказ в обслуживании» (DoS) или даже удаленное выполнение кода. Выпущены исправления для двух уязвимостей, обнаруженных в OpenSSL v3.0.0–v3.06.
Что такое OpenSSL?
OpenSSL — это широко используемая криптографическая утилита командной строки с открытым исходным кодом, реализованная для обеспечения безопасности обмена веб-трафиком между клиентом и сервером. Он используется для создания открытых и закрытых ключей, установки сертификатов SSL/TLS, проверки информации о сертификате и обеспечения шифрования.
Проблема обнаружилась 17 октября 2022 года, когда Polar Bear сообщил OpenSSL Project о двух высокоуровневых уязвимостях, обнаруженных в OpenSSL версий 3.0.0–3.0.6. Уязвимости — CVE-2022-3602 и CVE-2022-3786.
25 октября 2022 года новость об уязвимостях попала в Интернет. Марк Кокс, инженер-программист Red Hat и вице-президент по безопасности Apache Software Foundation, сообщил об этом в своем твите.
Как злоумышленник может использовать эти уязвимости?
Пара уязвимостей CVE-2022-3602 и CVE-2022-3786 подвержена атака переполнения буфера которая представляет собой кибератаку, при которой содержимое памяти сервера используется для раскрытия информации о пользователе и закрытых ключей сервера или для удаленного выполнения кода.
CVE-2022-3602
Эта уязвимость позволяет злоумышленнику воспользоваться переполнением буфера при проверке сертификата X.509 при проверке ограничения имени. Это происходит после проверки цепочки сертификатов и требует подписи ЦС на вредоносном сертификате или проверки сертификата, чтобы продолжить, несмотря на сбой сопоставления с доверенным издателем.
Злоумышленник может включить фишинговая схема например, создание сфабрикованного адреса электронной почты для переполнения четырех байтов в стеке. Это может привести к атаке типа «отказ в обслуживании» (DoS), при которой служба становится недоступной после сбоя или злоумышленник может выполнять удаленное выполнение кода, что означает удаленный запуск кода для управления приложением. сервер.
Эта уязвимость может быть активирована, если подлинный клиент TLS подключается к вредоносному серверу или если подлинный сервер TLS подключается к вредоносному клиенту.
CVE-2022-3786
Эта уязвимость эксплуатируется так же, как CVE-2022-3602. Единственное отличие состоит в том, что злоумышленник создает вредоносный адрес электронной почты для переполнения произвольного количества байтов, содержащих «.» символ (десятичный 46). Однако в CVE-2022-3602 эксплуатируются только четыре байта, контролируемые злоумышленником.
Воспоминание о пресловутой уязвимости Heartbleed
Еще в 2016 году аналогичная проблема была обнаружена в OpenSSL, которой был присвоен критический рейтинг серьезности. Это была ошибка обработки памяти, которая позволяла злоумышленникам скомпрометировать секретные ключи, пароли и другую конфиденциальную информацию на уязвимых серверах. Печально известная ошибка известна как Сердцебиение (CVE-2014-0160) и по сей день более 200 000 машин считаются уязвимыми для этой уязвимости.
Что исправить?
В современном мире, ориентированном на кибербезопасность, многие платформы реализуют защиту от переполнения стека, чтобы держать злоумышленников в страхе. Это обеспечивает необходимую защиту от переполнения буфера.
Дальнейшее устранение этих уязвимостей включает обновление до последней выпущенной версии OpenSSL. Поскольку OpenSSL v3.0.0–v3.0.6 уязвим, рекомендуется обновиться до OpenSSL v3.0.7. Однако, если вы используете OpenSSL v1.1.1 и v1.0.2, вы можете продолжать использовать эти версии, так как на них не влияют два уязвимости.
Две уязвимости трудно использовать
Вероятность злоупотребления этими уязвимостями невелика, поскольку одним из условий является искаженный сертификат, подписанный доверенным центром сертификации. Из-за постоянно растущего числа атак большинство современных систем обязательно внедряют встроенные механизмы безопасности, чтобы избежать таких типов атак.
Кибербезопасность является необходимостью в современном мире, со встроенными и расширенными механизмами защиты, подобные уязвимости трудно использовать. Благодаря своевременно выпущенным OpenSSL обновлениям безопасности вам не нужно беспокоиться об этих уязвимостях. Просто примите необходимые меры, такие как исправление вашей системы и внедрение хороших уровней безопасности, и вы можете безопасно использовать OpenSSL.
