Uppdaterad: 2022-11-01 18:56 Publicerad: 2022-10-27 15:33

Säkerhetsuppdatering från OpenSSL

OpenSSL har idag släppt en säkerhetsuppdatering som rättar två allvarliga sårbarheter i OpenSSLv3. En av sårbarheterna bedömdes ursprungligen som kritisk. [9]Sårbarheterna påverkar applikationer som använder OpenSSLv3 för att verifiera X.509-certifikat från obetrodda källor. Detta gäller både klienter som använder TLS och servrar som är konfigurerade att autentisera klienter genom TLS-certifikat. [9]Sårbarheten CVE-2022-3602 ger angripare kontroll över vilken data (fyra byte i storlek) som skrivs till stacken via en buffertöverskrivning. Angriparen väljer vilken data som ska skrivas genom hur en e-postadress utformas. Buffertöverskivningen kan potentiellt orsaka att applikationer stoppar oväntat och därmed skapa förutsättningar för en tillgänglighetsattack. Den kan också potentiellt ge angripare möjlighet att fjärrköra vald kod och bedömdes därför ursprungligen som kritisk av OpenSSL. Efter diskussion med leverantörer bedömer OpenSSL inte längre att det är sannolikt i vanligt förekommande fall och sårbarheten klassas nu som allvarlig. [9,10]Sårbarheten CVE-2022-3786 ger angripare möjligheten att skriva en godtyckligt mängd data bestående av tecknet “.” till stacken via en buffertöverskrivning. Buffertöverskivningen kan potentiellt orsaka att applikationer stoppar oväntat och därmed skapa förutsättningar för en tillgänglighetsattack. [9,10]Artikeln kan komma att uppdateras.

Bakgrund

OpenSSL är mjukvara för säkra kommunikationer och kryptografi som bland annat implementerar protokollen SSL och TLS. Det är öppen källkod som används i och av ett flertal andra programvaror. OpenSSL har funnits sedan 1998, men de påverkade versionerna 3.0.x släpptes i september 2021. Äldre versioner är inte påverkade. Andra implementationer av TLS/SSL som har skapats genom att förgrena tidigare versioner av OpenSSL, så som LibreSSL, ska därför inte heller vara påverkade.TLS/SSL används för säker kommunikation mellan två enheter antingen på internet eller ett internt nätverk. TLS är en vidareutveckling av SSL som först definierades 1999, men det förekommer fortfarande att protokollet kallas SSL. Ett användningsområde är kommunikationen mellan en webbläsare och en webbserver när HTTPS används, där S:et står för secure och innebär att TLS/SSL används för att kryptera kommunikationen. TLS/SSL används även brett av e-postklienter, vpn, videokonferenslösningar, chattprogram och IP-telefoni. Applikationer kan använda antingen operativsystemets implementation av TLS/SSL eller paketeras med en egen version.

Påverkade produkter

OpenSSL version 3.0.x, före 3.0.7NCSC-NL listar, tillsammans med samarbetspartners, produkter som använder respektive inte använder OpenSSLv3. [7]SANS har listat vilken version av OpenSSL som följer med ett flertal vanliga operativsystem [3]. Sysdig har listat vilken version som följer med ett antal containrar som de testat i Docker Hub [4]. Även Docker har publicerat råd och ett experimentelt verktyg för att söka efter sårbara Docker-containrar [5]. Genom att söka på den tillfälliga koden “DSA-2022-0001”, som används i väntan på CVE-nummer, i deras sårbarhetsdatabas kan man även där få fram en lista över kända påverkade paket [6].NCSC-NL har även, tillsammans med samarbetspartners, även listat metoder för att söka efter potentiellt sårbara programvaror i ett flertal olika miljöer. [8]

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara system så snart som möjligt samt att se över vilka programvaror som den egna organisationen använder som kan vara påverkade, om detta inte redan är gjort. CERT-SE rekommenderar vidare att hålla koll på information från leverantörer av potentiellt påverkade programvaror och vara redo att installera säkerhetsuppdateringar så snart dessa blir tillgängliga. Överväg om det finns tjänster som är aktuella att koppla bort i väntan på en säkerhetsuppdatering.

Källor

[1] https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html [2] https://www.openssl.org/news/vulnerabilities.html [3] https://isc.sans.edu/diary/29192 [4] https://sysdig.com/blog/openssl-3-vulnerability-container-images/ [5] https://www.docker.com/blog/security-advisory-critical-openssl-vulnerability/ [6] https://dso.docker.com/cve/DSA-2022-0001 [7] https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software [8] https://github.com/NCSC-NL/OpenSSL-2022/tree/main/scanning [9] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/ [10] https://www.openssl.org/news/secadv/20221101.txt

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-04-25 10:12

Sårbarheter i Cisco-produkter utnyttjas aktivt

Cisco varnar för tre sårbarheter i produktserierna Adaptive Security Appliance (ASA) och Firepower Threat Defense (FTD)....

Sårbarhet Cisco
2024-04-24 15:53

Sårbarhet i Progress Flowmon

Progress har rättat en sårbarhet (CVE-2024-2389) i produkten Flowmon, som används för att övervaka och analysera...

Sårbarhet Progress Flowmon
2024-04-19 14:07

CERT-SE:s veckobrev v.16

Denna vecka gick CERT-SE ut med årets andra blixtmeddelande, gällande en kritisk sårbarhet i Palo Alto...

Veckobrev
2024-04-19 13:06 Uppdaterad

Kritiska sårbarheter i Ivanti Avalanche

Ivanti har rättat flera sårbarheter i Avalanche, varav två bedöms som kritiska. De kan kan orsaka...

Sårbarhet Ivanti Avalanche
2024-04-18 16:25

Oracles kvartalsvisa säkerhetsuppdatering för april 2024

Oracle har publicerat sina kvartalsvisa säkerhetsuppdateringar för april. Säkerhetsuppdateringarna berör ett stort antal produkter. Totalt publiceras...

Sårbarhet Oracle

Nyheter