Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
Вчера, 1 ноября 2022 г., OpenSSL выпустила версию 3.0.7 для исправления CVE-2022-3602 и CVE-2022-3786, двух уязвимостей ВЫСОКОГО риска в криптографической библиотеке OpenSSL 3.0.x. Cloudflare не подвержен этим уязвимостям, потому что мы используем BoringSSL в наших продуктах.
Эти уязвимости представляют собой проблемы с повреждением памяти, при которых злоумышленники могут выполнять произвольный код на компьютере жертвы. CVE-2022-3602 изначально была объявлена как КРИТИЧЕСКАЯ уязвимость, но она была понижена до ВЫСОКОЙ, поскольку было сочтено, что ее трудно использовать с помощью удаленного выполнения кода (RCE). В отличие от предыдущих ситуаций, когда пользователи OpenSSL были почти повсеместно уязвимы, программное обеспечение, использующее другие версии OpenSSL (например, 1.1.1), не уязвимо для этой атаки.
Как эти проблемы влияют на клиентов и серверы?
Эти уязвимости находятся в коде, отвечающем за проверку сертификата X.509, который чаще всего выполняется на стороне клиента для проверки подлинности сервера и представленного сертификата. Чтобы подвергнуться воздействию этой уязвимости, жертва (клиент или сервер) должна выполнить несколько условий:
- Вредоносный сертификат должен быть подписан центром сертификации, которому доверяет жертва.
- Жертве необходимо подтвердить вредоносный сертификат или проигнорировать ряд предупреждений браузера.
- Жертва должна использовать OpenSSL 3.0.x до 3.0.7.
Чтобы клиент мог быть затронут этой уязвимостью, ему необходимо посетить вредоносный сайт, который представляет сертификат, содержащий полезную нагрузку эксплойта. Кроме того, этот вредоносный сертификат должен быть подписан доверенным центром сертификации (ЦС).
Серверы с уязвимой версией OpenSSL могут быть атакованы, если они поддерживают взаимную аутентификацию — сценарий, в котором и клиент, и сервер предоставляют действительный и подписанный сертификат X.509, а клиент может предоставить серверу сертификат с полезной нагрузкой эксплойта. .
Как вы должны решить эту проблему?
Если вы управляете службами, использующими OpenSSL: вам следует исправить уязвимые пакеты OpenSSL. В системе Linux вы можете определить, есть ли у вас какие-либо процессы, динамически загружающие OpenSSL с помощью lsof команда. Вот пример обнаружения OpenSSL, используемого NGINX.
root@55f64f421576:/# lsof | grep libssl.so.3
nginx 1294 root mem REG 254,1 925009 /usr/lib/x86_64-linux-gnu/libssl.so.3 (path dev=0,142)
Как только разработчики пакетов для вашего дистрибутива Linux выпустят OpenSSL 3.0.7, вы сможете исправить это, обновив исходные коды пакетов и обновив пакет libssl3. В Debian и Ubuntu это можно сделать с помощью команды обновления apt-get.
root@55f64f421576:/# apt-get --only-upgrade install libssl3
При этом вполне возможно, что вы используете уязвимую версию OpenSSL, которая lsof команда не может найти, потому что ваш процесс статически скомпилирован. Важно обновить статически скомпилированное программное обеспечение, за поддержку которого вы несете ответственность, и убедиться, что в ближайшие дни вы обновите свою операционную систему и другое установленное программное обеспечение, которое может содержать уязвимые версии OpenSSL.
Основные выводы
Использование Cloudflare BoringSSL помогло нам быть уверенными, что проблема не повлияет на нас до даты выпуска уязвимостей.
В более общем плане эта уязвимость является напоминанием о том, что безопасность памяти по-прежнему остается важной проблемой. Эту проблему может быть трудно использовать, поскольку для этого требуется злонамеренно созданный сертификат, подписанный доверенным ЦС, и издатели сертификатов, скорее всего, начнут проверять, что подписанные ими сертификаты не содержат полезных данных, использующих эти уязвимости. Тем не менее, по-прежнему важно исправить ваше программное обеспечение и обновить уязвимые пакеты OpenSSL до OpenSSL 3.0.7, учитывая серьезность проблемы.
Чтобы узнать больше о нашей миссии по созданию лучшего Интернета, Начните здесь. Если вы ищете новое направление карьеры, проверьте наши открытые позиции.
