Az OpenSSL projekt október végén tájékoztatót adott ki, amiben a kriptográfiai könyvtár kritikus sebezhetőségeit hozta nyilvánosságra, ígéretet téve, hogy november elsején a hibajavítást is közzéteszik. A javítás elérhetővé vált, javasolt az érintett szoftverek frissítése.
A SpookySSL néven hivatkozott sérülékenységekről előzetesen az OpenSSL projekt is azt állította, hogy a hírhedt Heartbleed sérülékenység óta ez a legkomolyabb biztonsági rés, ami az SSL és TLS protokollok ingyenes, nyílt forrású implementációját érinti. Azóta a sérülékenységek biztonsági kockázatát kritikusról magas besorolásra csökkentették, ennek ellenére javasolt a legfrissebb (3.0.7-es) verzió telepítése, valamint azon szoftverek frissítése, amelyek már ezt a verziót alkalmazzák.
A sérülékenységekről
Összesen két memória túlcsordulásos (Buffer Overwflow) hiba (CVE-2022-3602), (CVE-2022-3786) került javításra.
Mindkét hiba a TLS tanúsítványok ellenőrzésekor merül fel. A sebezhetőségek szolgáltatás megtagadásos (DoS) kondíciót, valamint bizonyos körülmények között távoli kódvégrehajtást (RCE) is lehetővé tehetnek. A projekt azonban megjegyzi, hogy a legtöbb platform rendelkezik olyan memóriakezelési védelemmel, ami az RCE támadási szcenáriót valószínűtlenné teszi. Emellett ─ ellentétben például a Heartbleeddel ─ a mostani hibák inkább kliens (böngésző) oldalon jelentenek kockázatot.
- OpenSSL 3.0.0 – 3.0.6 verziók érintettek a sebezhetőségben, javasolt a 3,0,7-es verzióra történő átállás.
- OpenSSL 1.1.1 és 1.0.2 nem sérülékeny.
Milyen szoftverek érintettek?
A holland kibervédelmi központ (NCSC-NL) és az amerikai belbiztonsági kiberügynökség (CISA) egy közös listát vezet az érintett szoftverekről, amely itt érhető el:
https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
A SOPHOS egy blogbejegyzésben foglalkozik a témával, amelyben az OpenSSL könyvtárak azonosításának problémájáról és lehetséges módjairól ír.
