  |
Za poslednú hodinu: 53 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 26. apríla 2024, dnes má meniny Jaroslava |
|
NBÚ opäť neadekvátne strašil v počítačovej bezpečnosti, kvôli OpenSSL
Slovensko
SK-CERT vopred upozornila na avizované vydanie novej verzie knižnice OpenSSL 3.0.7. Nová verzia bola vývojármi avizovaná 25. októbra s plánovaným termínom vydania 1. novembra. Podľa oznámenia v novej verzii mala byť opravená aj chyba stupňa závažnosti kritická. Žiadne ďalšie informácie vývojári vopred verejne neoznámili. V OpenSSL sa chyby stupňa závažnosti kritická objavujú len veľmi zriedka a OpenSSL je samozrejme mimoriadne dôležitá implementácia šifrovaného protokolu TLS používaná mnohými softvérmi. Po avíze rozličné médiá ale nepresne informovali, že zraniteľnosť bude len druhou kritickou zraniteľnosťou v histórii OpenSSL, alebo ju dokonca prirovnávali k veľmi vážnej zraniteľnosti Heartbleed z roku 2014. Zrejme tak ale robili bez znalosti konkrétnych informácií o nových zraniteľnostiach, ktoré sa nakoniec neukázali zďaleka tak závažné a vývojári nakoniec znížili v prípade kritickej závažnosti jej stupeň závažnosti na vysoká. SK-CERT dokonca prevádzkovateľom dôležitých služieb odporučila, aby zaistili aktualizovanie hneď v deň vydania novej verzie a teda počas štátneho sviatku a v čase voľna zamestnancov. "Upozorňujeme na fakt, že detaily budú zverejnené počas nášho štátneho sviatku. Prevádzkovateľom základných služieb preto dôrazne odporúčame zabezpečiť pohotovosť potrebného personálu počas tohto sviatku, sledovať informácie o uvedenej kritickej zraniteľnosti a aplikovať bezpečnostné aktualizácie jednotlivých systémov ihneď, ako budú dostupné," uvádza v upozornení. V DSL.sk sme zvažovali, či má avizovaná nová verzia zrejme závažnosť vyžadujúcu upozornenie vopred. Nakoniec sme ale vyhodnotili, že na základe kvalifikovaných dostupných informácií nie je jasná skutočná závažnosť opravovaných zraniteľností. Samotné avízo vopred nie je výnimočné, vývojári OpenSSL pravidelne vopred avizujú vydanie nových verzií. Zároveň tieto zraniteľnosti boli avizované len pre verziu OpenSSL 3.0, pričom viacero dôležitých softvérov ešte používa stále podporovanú verziu OpenSSL 1.1.1. Podľa oznámenia vývojárov OpenSSL boli vo verzii 3.0.7 opravené dve zraniteľnosti CVE-2022-3602 a CVE-2022-3786. Obe boli typu pretečenia bufferu pri overovaní X.509 certifikátov a ich zneužitie voči serverom je už tým výrazne limitované, keď sa týka len serverov podporujúcich a overujúcich klientské certifikáty. Pri overovaní dôveryhodnosti certifikátov musia byť tiež pre zneužitie zraniteľností certifikáty využívané útočníkmi vydané certifikačnými autoritami. Obe zraniteľnosti je možné využiť na zhodenie aplikácie a teda DoS útok. Pri zraniteľnosti CVE-2022-3786 sa podľa tvorcov neočakáva možnosť vzdialeného spustenia kódu na žiadnej platforme, keďže útočník nemôže zvoliť akými dátami sa buffer prepisuje. Zraniteľnosť tak mala od začiatku závažnosť vysoká. Zraniteľnosť CVE-2022-3602 potenciálne môže umožniť vzdialené spustenie kódu pomocou pretečenia bufferu na zásobníku. Podľa vyhodnotenia vývojárov to ale nie je bežne pravdepodobné, keď okrem iného zraniteľnosť umožňuje prepísať len štyri bajty a to v prípade viacerých linuxových distribúcií v ešte nevyužitom bufferi. Zároveň veľa moderných platforiem využíva ochranu proti pretečeniu zásobníka. Závažnosť zraniteľnosti tak z plánovanej závažnosti kritická znížili tiež na vysoká. Nie je známe, na základe akých informácií SK-CERT vydala svoje pôvodné odporúčanie a aké odporúčanie by vydala ak by poznala skutočné informácie o zraniteľnostiach. Samozrejme aktualizovať zraniteľný softvér čo najskôr je vždy odporúčané a prehnané bezpečnostné odporúčanie je lepšie ako nedostatočné odporúčanie. Pôvodné avízo tvorcov OpenSSL tiež samozrejme pôsobilo o niečo závažnejšie ako následné detailné informácie. Od národnej jednotky SK-CERT sa zrejme ale očakáva, aby informovala kvalitne, na základe kvalifikovaných informácií a zodpovedajúco situácii. Špeciálne pri širokom odporúčaní uskutočniť aktualizáciu okamžite v deň pracovného voľna. Navyše v doplnení odporúčania po zverejnení informácií o zraniteľnostiach má SK-CERT viaceré faktické chyby. Napríklad tam o oboch zraniteľnostiach tvrdí, že majú potenciál umožniť vykonanie kódu a že závažnosť oboch bola najskôr kritická. Obe informácie sú v prípade CVE-2022-3786 podľa informácií tvorcov nesprávne. V tejto súvislosti je potrebné pripomenúť, že SK-CERT v minulosti strašila katastrofálnou úrovňou zabezpečenia webových serveroch Apache na Slovensku. Ako sme upozornili v tomto článku, SK-CERT evidentne si neuvedomujúc bežnú praktiku tzv. backportovania opráv tvrdila, že skoro 98.2% Apache serverov na Slovensku je neaktualizovaných. SK-CERT ani po upozornení túto štatistiku a tvrdenie neopravila a dodnes ich má na stránke. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
