Säkerhetsuppdatering från OpenSSL
OpenSSL har idag släppt en säkerhetsuppdatering som rättar två allvarliga sårbarheter i OpenSSLv3. En av sårbarheterna bedömdes ursprungligen som kritisk. [9]Sårbarheterna påverkar applikationer som använder OpenSSLv3 för att verifiera X.509-certifikat från obetrodda källor. Detta gäller både klienter som använder TLS och servrar som är konfigurerade att autentisera klienter genom TLS-certifikat. [9]Sårbarheten CVE-2022-3602 ger angripare kontroll över vilken data (fyra byte i storlek) som skrivs till stacken via en buffertöverskrivning. Angriparen väljer vilken data som ska skrivas genom hur en e-postadress utformas. Buffertöverskivningen kan potentiellt orsaka att applikationer stoppar oväntat och därmed skapa förutsättningar för en tillgänglighetsattack. Den kan också potentiellt ge angripare möjlighet att fjärrköra vald kod och bedömdes därför ursprungligen som kritisk av OpenSSL. Efter diskussion med leverantörer bedömer OpenSSL inte längre att det är sannolikt i vanligt förekommande fall och sårbarheten klassas nu som allvarlig. [9,10]Sårbarheten CVE-2022-3786 ger angripare möjligheten att skriva en godtyckligt mängd data bestående av tecknet “.” till stacken via en buffertöverskrivning. Buffertöverskivningen kan potentiellt orsaka att applikationer stoppar oväntat och därmed skapa förutsättningar för en tillgänglighetsattack. [9,10]Artikeln kan komma att uppdateras.
Bakgrund
OpenSSL är mjukvara för säkra kommunikationer och kryptografi som bland annat implementerar protokollen SSL och TLS. Det är öppen källkod som används i och av ett flertal andra programvaror. OpenSSL har funnits sedan 1998, men de påverkade versionerna 3.0.x släpptes i september 2021. Äldre versioner är inte påverkade. Andra implementationer av TLS/SSL som har skapats genom att förgrena tidigare versioner av OpenSSL, så som LibreSSL, ska därför inte heller vara påverkade.TLS/SSL används för säker kommunikation mellan två enheter antingen på internet eller ett internt nätverk. TLS är en vidareutveckling av SSL som först definierades 1999, men det förekommer fortfarande att protokollet kallas SSL. Ett användningsområde är kommunikationen mellan en webbläsare och en webbserver när HTTPS används, där S:et står för secure och innebär att TLS/SSL används för att kryptera kommunikationen. TLS/SSL används även brett av e-postklienter, vpn, videokonferenslösningar, chattprogram och IP-telefoni. Applikationer kan använda antingen operativsystemets implementation av TLS/SSL eller paketeras med en egen version.
Påverkade produkter
OpenSSL version 3.0.x, före 3.0.7
NCSC-NL listar, tillsammans med samarbetspartners, produkter som använder respektive inte använder OpenSSLv3. [7]SANS har listat vilken version av OpenSSL som följer med ett flertal vanliga operativsystem [3]. Sysdig har listat vilken version som följer med ett antal containrar som de testat i Docker Hub [4]. Även Docker har publicerat råd och ett experimentelt verktyg för att söka efter sårbara Docker-containrar [5]. Genom att söka på den tillfälliga koden “DSA-2022-0001”, som används i väntan på CVE-nummer, i deras sårbarhetsdatabas kan man även där få fram en lista över kända påverkade paket [6].NCSC-NL har även, tillsammans med samarbetspartners, även listat metoder för att söka efter potentiellt sårbara programvaror i ett flertal olika miljöer. [8]
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara system så snart som möjligt samt att se över vilka programvaror som den egna organisationen använder som kan vara påverkade, om detta inte redan är gjort. CERT-SE rekommenderar vidare att hålla koll på information från leverantörer av potentiellt påverkade programvaror och vara redo att installera säkerhetsuppdateringar så snart dessa blir tillgängliga. Överväg om det finns tjänster som är aktuella att koppla bort i väntan på en säkerhetsuppdatering.
Källor
[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html [2] https://www.openssl.org/news/vulnerabilities.html [3] https://isc.sans.edu/diary/29192 [4] https://sysdig.com/blog/openssl-3-vulnerability-container-images/ [5] https://www.docker.com/blog/security-advisory-critical-openssl-vulnerability/ [6] https://dso.docker.com/cve/DSA-2022-0001 [7] https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software [8] https://github.com/NCSC-NL/OpenSSL-2022/tree/main/scanning [9] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ [10] https://www.openssl.org/news/secadv/20221101.txt