Tādi lasītāji kā jūs palīdz atbalstīt MUO. Veicot pirkumu, izmantojot saites mūsu vietnē, mēs varam nopelnīt filiāles komisiju.
2022. gada oktobra pēdējā nedēļā OpenSSL projekts atklāja divas OpenSSL bibliotēkā atrastas ievainojamības. Gan CVE-2022-360, gan CVE-2022-3786 ir atzīmēti kā “Augstas” nopietnības problēmas ar CVSS punktu skaitu 8,8, kas ir tikai par 0,2 punktiem zemāks nekā tas, kas būtu jāuzskata par kritisku.
Problēma ir saistīta ar sertifikātu verifikācijas procesu, ko OpenSSL veic uz sertifikātiem balstītai autentifikācijai. Ievainojamību izmantošana var ļaut uzbrucējam uzsākt pakalpojuma atteikuma (DoS) vai pat attālās koda izpildes uzbrukumu. Tagad ir izlaisti ielāpi diviem OpenSSL v3.0.0 līdz v3.06 trūkumiem.
Kas ir OpenSSL?
OpenSSL ir plaši izmantota atvērtā pirmkoda kriptogrāfijas komandrindas utilīta, kas ieviesta, lai nodrošinātu drošu tīmekļa trafika apmaiņu starp klientu un serveri. To izmanto, lai ģenerētu publiskās un privātās atslēgas, instalētu SSL/TLS sertifikātus, pārbaudītu sertifikāta informāciju un nodrošinātu šifrēšanu.
Problēma atklājās 2022. gada 17. oktobrī, kad Polar Bear atklāja divas augsta līmeņa ievainojamības, kas atklātas OpenSSL projekta OpenSSL versijā 3.0.0–3.0.6. Ievainojamības ir CVE-2022-3602 un CVE-2022-3786.
2022. gada 25. oktobrī internetā nonāca ziņas par ievainojamību. Marks Kokss, Red Hat programmatūras inženieris un Apache Software Foundation drošības viceprezidents, tviterī atklāja ziņas.
Kā uzbrucējs var izmantot šīs ievainojamības?
Pāris ievainojamības CVE-2022-3602 un CVE-2022-3786 ir pakļautas bufera pārplūdes uzbrukums kas ir kiberuzbrukums, kurā servera atmiņas saturs tiek ļaunprātīgi izmantots, lai atklātu lietotāja informāciju un servera privātās atslēgas vai veiktu attālinātu koda izpildi.
CVE-2022-3602
Šī ievainojamība ļauj uzbrucējam izmantot X.509 sertifikāta verifikācijas bufera pārtēriņa priekšrocības nosaukuma ierobežojumu pārbaudē. Tas notiek pēc sertifikātu ķēdes verifikācijas, un ir nepieciešams CA paraksts uz ļaunprātīgā sertifikāta vai sertifikāta verifikācija, lai turpinātu, neskatoties uz to, ka nav izdevies izveidot kartējumu ar uzticamu izdevēju.
Uzbrucējs var iekļauties pikšķerēšanas shēma piemēram, izveidojot izdomātu e-pasta adresi, lai stekā tiktu pārpildīti četri baiti. Tas var izraisīt pakalpojuma atteikuma (DoS) uzbrukumu, kurā pakalpojums pēc avārijas kļūst nepieejams vai uzbrucējs var veikt attālo koda izpildi, kas nozīmē, ka kods tiek attālināti palaists, lai kontrolētu lietojumprogrammu serveris.
Šo ievainojamību var aktivizēt, ja autentisks TLS klients izveido savienojumu ar ļaunprātīgu serveri vai ja autentisks TLS serveris izveido savienojumu ar ļaunprātīgu klientu.
CVE-2022-3786
Šī ievainojamība tiek izmantota tāpat kā CVE-2022-3602. Vienīgā atšķirība ir tāda, ka uzbrucējs izveido ļaunprātīgu e-pasta adresi, lai pārpildītu patvaļīgu skaitu baitu, kas satur “”. rakstzīme (46 decimālzīme). Tomēr CVE-2022-3602 tiek izmantoti tikai četri uzbrucēja kontrolēti baiti.
Bēdīgi slavenā “Heartbleed” ievainojamības atskats
2016. gadā līdzīga problēma tika atklāta OpenSSL, kurai tika piešķirts smaguma novērtējums “Kritisks”. Šī bija atmiņas apstrādes kļūda, kas ļāva uzbrucējiem apdraudēt slepenās atslēgas, paroles un citu sensitīvu informāciju neaizsargātajos serveros. Bēdīgi slavenā kļūda ir pazīstama kā Heartbleed (CVE-2014-0160) un līdz šai dienai vairāk nekā 200 000 iekārtu tiek uzskatītas par neaizsargātām pret šo trūkumu.
Kāds ir labojums?
Mūsdienu pasaulē, kas apzinās kiberdrošību, daudzas platformas ievieš steka pārpildes aizsardzību, lai atturētu uzbrucējus. Tas nodrošina nepieciešamo samazinājumu pret bufera pārplūdi.
Turpmāka šo ievainojamību mazināšana ietver jaunināšanu uz jaunāko OpenSSL versiju. Tā kā OpenSSL v3.0.0 uz v3.0.6 ir neaizsargāta, ieteicams veikt jaunināšanu uz OpenSSL v3.0.7. Tomēr, ja lietojat OpenSSL v1.1.1 un v1.0.2, varat turpināt izmantot šīs versijas, jo abas tās neietekmē ievainojamības.
Divas ievainojamības ir grūti izmantot
Šo ievainojamību ļaunprātīgas izmantošanas iespējamība ir zema, jo viens no nosacījumiem ir nepareizi veidots sertifikāts, ko parakstījusi uzticama CA. Sakarā ar arvien pieaugošo uzbrukumu ainavu lielākā daļa mūsdienu sistēmu ievieš iebūvētus drošības mehānismus, lai izvairītos no šāda veida uzbrukumiem.
Mūsdienu pasaulē kiberdrošība ir nepieciešama, jo ar iebūvētiem un uzlabotiem aizsardzības mehānismiem šādas ievainojamības ir grūti izmantot. Pateicoties OpenSSL laicīgi izlaistajiem drošības atjauninājumiem, jums nav jāuztraucas par šīm ievainojamībām. Vienkārši veiciet nepieciešamos pasākumus, piemēram, sistēmas ielāpojumu un labu drošības slāņu ieviešanu, un varat droši izmantot OpenSSL.
