Bir OpenSSL güvenlik açığı, İnternet’i yeniden şekillendiren Heartbleed hatasının yeni yamalanmasından bu yana ilk kritik düzeydeki yama olarak işaretlendi. Sonunda, tüm OpenSSL 3.x kurulumlarını etkileyen, ancak uzaktan kod yürütülmesine yol açması muhtemel olmayan bir arabellek taşması için “yüksek” bir güvenlik düzeltmesi olarak geldi.
OpenSSL sürüm 3.0.7, kritik bir güvenlik düzeltmesi sürümü olarak geçen hafta duyuruldu. Belirli güvenlik açıkları (şimdi CVE-2022-37786 ve CVE-2022-3602) bugüne kadar büyük ölçüde bilinmiyordu, ancak web güvenliği alanındaki analistler ve işletmeler, kayda değer sorunlar ve bakım sıkıntısı olabileceğini ima etti. Fedora da dahil olmak üzere bazı Linux dağıtımları, yama çıkana kadar yayınları durdurdu. Dağıtım devi Akamai, yamadan önce, izlenen ağlarının yarısının savunmasız bir OpenSSL 3.x örneğine sahip en az bir makineye sahip olduğunu ve bu ağlar arasında makinelerin yüzde 0,2 ila 33’ünün savunmasız olduğunu belirtti.
Ancak belirli güvenlik açıkları (sınırlı koşullu, çoğu modern platformda yığın düzeni tarafından azaltılan istemci tarafı taşmaları) artık yamalandı ve “Yüksek” olarak derecelendirildi. OpenSSL 1.1.1 hala uzun vadeli destek aşamasındayken, OpenSSL 3.x neredeyse o kadar yaygın değil.
Kötü amaçlı yazılım uzmanı Marcus Hutchins, GitHub’da kod sorunlarını ayrıntılandıran bir OpenSSL taahhüdüne işaret ediyor: “zayıf kod çözme işlevlerinde iki arabellek taşması düzeltildi.” Bir X.509 sertifikası içinde doğrulanan kötü amaçlı bir e-posta adresi, platforma ve yapılandırmaya bağlı olarak bir kilitlenme veya potansiyel olarak uzaktan kod yürütülmesine neden olarak bir yığındaki baytların taşmasına neden olabilir.
Ancak bu güvenlik açığı çoğunlukla sunucuları değil istemcileri etkiler, bu nedenle Heartbleed’in aynı tür İnternet çapında güvenlik sıfırlaması (ve saçmalığı) muhtemelen takip etmeyecektir. Örneğin OpenSSL 3.x kullanan VPN’ler ve Node.js gibi diller etkilenebilir. Siber güvenlik uzmanı Kevin Beaumont dikkat çekiyor Çoğu Linux dağıtımının varsayılan yapılandırmalarındaki yığın taşması korumalarının kod yürütülmesini engellemesi gerektiği.
Kritik düzeydeki duyuru ile üst düzey sürüm arasında ne değişti? OpenSSL’nin güvenlik ekibi, yaklaşık bir hafta içinde kuruluşların test ettiğini ve geri bildirim sağladığını bir blog gönderisinde yazıyor. Bazı Linux dağıtımlarında, tek bir saldırıyla mümkün olan 4 baytlık taşma, henüz kullanılmayan bitişik bir arabelleğin üzerine yazdı ve bu nedenle bir sistemi çökertemedi veya kod yürütemedi. Diğer güvenlik açığı, bir saldırganın içeriği değil, yalnızca bir taşma uzunluğunu ayarlamasına izin verdi.
Dolayısıyla, çökmeler hala mümkün olsa ve bazı yığınlar uzaktan kod yürütmeyi mümkün kılacak şekilde düzenlenebilse de, bu olası veya kolay değildir, bu da güvenlik açıklarını “yüksek” düzeye düşürür. Ancak herhangi bir 3.x OpenSSL uygulamasının kullanıcıları, mümkün olan en kısa sürede yama yapmalıdır. Ve herkes, çeşitli alt sistemlerde bu sorunları yamalayabilecek yazılım ve işletim sistemi güncellemeleri aramalıdır.
İzleme hizmeti Datadog, sorunun iyi bir özetiyle, güvenlik araştırma ekibinin bir kavram kanıtı olarak OpenSSL 3.x sürümünü kullanarak bir Windows dağıtımını çökertebildiğini belirtiyor. Ve Linux dağıtımları muhtemelen istismar edilebilir olmasa da, “Linux dağıtımları için hazırlanmış bir istismar” ortaya çıkabilir.
Hollanda Ulusal Siber Güvenlik Merkezi (NCSL-NL), OpenSSL 3.x istismarına karşı savunmasız yazılımların çalışan bir listesine sahiptir. Çok sayıda popüler Linux dağıtımı, sanallaştırma platformu ve diğer araçlar, savunmasız veya inceleme altında olarak listelenmiştir.
