☰

Pieejama informācija par OpenSSL 3.0.x ievainojamībām

Projekts OpenSSL publicēja jaunu OpenSSL versiju 3.0.7, kas novērš OpenSSL ievainojamības - CVE-2022-3602 un CVE-2022-3786. Ievainojamību būtība ir nekorekta e-pasta pābaude, kas ļauj veikt Buffer Owerflow uzbrukumu.

Izstrādātāji sākotnēji klasificēja ievainojamības kā kritiskas (Critical) (https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html), bet vēlāk pazemināja ietekmes vērtejumu uz augstu (High) (https://www.openssl.org/news/secadv/20221101.txt).

Lai arī pašas ievainojamības ir kritiskas, to izmantošana ir komplicēta operētājsistēmu aizsardzības mehānismu dēļ (https://www.openssl.org/policies/general/security-policy.html).

OpenSSL ir kriptogrāfijas bibliotēka, kas atrodas sistēmās, un šo bibliotēku izmanto SSL un TLS protokoli. Ikdienā visbiežāk izmantotais serviss ir HTTPS.

Šobrīd nav publicēts ievainojamību apraksts vai ievainojamību izpildes kods.

Ietekmētās OpenSSL versijas ir 3.0.0 - 3.0.6. Versija 3.0.0 tika publicēta 2021. gada septembrī. OpenSSL 1.1.1 versija, kas tiek izmantota uz vecākām Linux operētājsistēmām, nav ievainojama.

Ar produktiem, kas ir pakļauta OpenSSL jaunākajām ievainojamībām, varat iepazīties publiski pieejamā repozitorijā: https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software

Situācijas novērtējums Latvijā

Ievainojamību ietekmes novērtējums ir augsts, bet ne kritisks.  Kopējais stāvoklis nav tik slikts, kā tas bija, piemēram, ar HeartBleed - citu, kritisku OpenSSL ievainojamību 2014. gadā.

Tā kā jaunākā OpenSSL bibliotēkas versija tika publicēta tikai pagājušā gada septembrī, tad tā tiek izmantota tikai jaunākajos produktos un operētājsistēmās, un šobrīd visizplatītākā ir OpenSSL versija 1.1.1.

Programmatūras izstrādātāji regulāri publicē produkta drošības atjauninājumus. CERT.LV aicina sekot izmantoto produktu un tajos iekļauto OpenSSL bibliotēku drošības informācijai un atjauninājumiem. Jāņem vērā, ka nereti līdz ar informāciju par ievainojamībām un atjauninājumiem parādās arī publiski mūķi (Exploits) un ievainojamība tiek izmantota uzbrukumos. Tas nozīmē, ka jūsu IT infrastruktūras drošības uzturēšanai reakcijas laiks ir nevis dienu, bet stundu jautājums!

Ko darīt serveru uzturētājiem?

Veiciet savu sistēmu auditu un identificējiet tās sistēmas, kas izmanto OpenSSL 3.0.x bibliotēku.

Atrodot ievainojamu produktu vai operētājsistēmu, sekojiet izmantoto servisu oficiālajiem paziņojumiem un pieejamajiem atjauninājumiem.

OpenSSL mājaslapas rakstā ir atbildes uz biežāk uzdotajiem jautājumiem: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/