OpenSSL предупреждает о критической уязвимости безопасности в предстоящем патче

Подробностей пока нет, но мы можем с уверенностью сказать, что с 1 ноября всем — я имею в виду всех — нужно будет обновить OpenSSL 3.x.

Все зависят от OpenSSL. Возможно, вы этого не знаете, но OpenSSL — это то, что позволяет использовать безопасную защиту транспортного уровня (TLS) в Linux, Unix, Windows и многих других операционных системах. Это также то, что используется для блокировки практически всех безопасных коммуникационных и сетевых приложений и устройств.

ОБНОВЛЕНИЕ: OpenSSL уклоняется от проблем безопасности

Поэтому мы все должны быть обеспокоены тем, что Марк Кокс, выдающийся инженер-программист Red Hat и вице-президент Apache Software Foundation (ASF) по безопасности, на этой неделе написал в Твиттере: «Обновление OpenSSL 3.0.7 для исправления критического CVE выйдет в следующий вторник 13:00-17:00 UTC». ."

Насколько плох «Критический»? Согласно OpenSSL, проблема критической серьезности затрагивает общие конфигурации и также может быть использована.

Вероятно, им будут злоупотреблять для раскрытия содержимого памяти сервера и, возможно, раскрытия сведений о пользователе, а также его можно легко использовать удаленно для компрометации закрытых ключей сервера или удаленного выполнения кода. Другими словами, в ваших производственных системах происходит практически все, чего вы не хотите.

Ип!

В последний раз OpenSSL подвергал свою безопасность подобному удару в 2016 году. Эту уязвимость можно было использовать для сбоя и захвата системы. По оценкам охранной компании Check Point, даже спустя годы после его появления, оно затронуло более 42% организаций.

Этот мог быть и хуже. Мы можем только надеяться, что это не так плохо, как у бессменного чемпиона по дырам в безопасности OpenSSL, HeartBleed 2014 года.

Так зачем же объявлять об дыре в безопасности до выхода патча? Кокс объяснил: «Это наша политика… предоставлять людям дату, когда они будут готовы проанализировать рекомендацию и посмотреть, затронет ли их проблема».

Но не мог ли хакер найти его и использовать как нулевой день? Он так не думает. «Учитывая количество изменений в версии 3.0 и отсутствие какой-либо другой контекстной информации, такая очистка крайне маловероятна».

В этом темном облаке есть еще одна маленькая серебряная подсветка. Эта новая дыра затрагивает только версии OpenSSL с 3.0.0 по 3.0.6. Таким образом, старые операционные системы и устройства, скорее всего, смогут избежать этих проблем. Например, Red Hat Enterprise Linux (RHEL) 8.x и более ранних версий, а также Ubuntu 20.04 не пострадают от него. Однако RHEL 9.x и Ubuntu 22.04 — это совсем другая история. Они используют OpenSSL 3.x.

Если вы пользователь Linux, вы можете проверить свою систему, выполнив команду оболочки:

# версия openssl

В моем случае на моем ноутбуке передо мной установлен Debian Bullseye, который использует OpenSSL 1.1, так что эта машина хороша.

Но если вы используете что-либо с OpenSSL 3.x — что угодно — будьте готовы к обновлению во вторник. Скорее всего, это серьезная дыра в безопасности, и вскоре за ней последуют эксплойты. Вы захотите как можно скорее обезопасить свои системы.