SpookySSL sérülékenység: elérhetővé vált az OpenSSL hibajavítás

Az OpenSSL projekt október végén tájékoztatót adott ki, amiben a kriptográfiai könyvtár kritikus sebezhetőségeit hozta nyilvánosságra, ígéretet téve, hogy november elsején a hibajavítást is közzéteszik. A javítás elérhetővé vált, javasolt az érintett szoftverek frissítése.

A SpookySSL néven hivatkozott sérülékenységekről előzetesen az OpenSSL projekt is azt állította, hogy a hírhedt Heartbleed sérülékenység óta ez a legkomolyabb biztonsági rés, ami az SSL és TLS protokollok ingyenes, nyílt forrású implementációját érinti. Azóta a sérülékenységek biztonsági kockázatát kritikusról magas besorolásra csökkentették, ennek ellenére javasolt a legfrissebb (3.0.7-es) verzió telepítése, valamint azon szoftverek frissítése, amelyek már ezt a verziót alkalmazzák.

A sérülékenységekről

Összesen két memória túlcsordulásos (Buffer Overwflow) hiba (CVE-2022-3602), (CVE-2022-3786) került javításra.

Mindkét hiba a TLS tanúsítványok ellenőrzésekor merül fel. A sebezhetőségek szolgáltatás megtagadásos (DoS) kondíciót, valamint bizonyos körülmények között távoli kódvégrehajtást (RCE) is lehetővé tehetnek. A projekt azonban megjegyzi, hogy a legtöbb platform rendelkezik olyan memóriakezelési védelemmel, ami az RCE támadási szcenáriót valószínűtlenné teszi. Emellett ─ ellentétben például a Heartbleeddel ─ a mostani hibák inkább kliens (böngésző) oldalon jelentenek kockázatot.

  • OpenSSL 3.0.03.0.6 verziók érintettek a sebezhetőségben, javasolt a 3,0,7-es verzióra történő átállás.
  • OpenSSL 1.1.1 és 1.0.2 nem sérülékeny.

Milyen szoftverek érintettek?

A holland kibervédelmi központ (NCSC-NL) és az amerikai belbiztonsági kiberügynökség (CISA) egy közös listát vezet az érintett szoftverekről, amely itt érhető el:

https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software

A SOPHOS egy blogbejegyzésben foglalkozik a témával, amelyben az OpenSSL könyvtárak azonosításának problémájáról és lehetséges módjairól ír.

(darkreading.com)