image

OpenSSL schaalt kwetsbaarheid (CVE-2022-3602) af van kritiek naar high

dinsdag 1 november 2022, 17:27 door Redactie, 8 reacties

OpenSSL heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid in OpenSSL 3.0 die eerst als kritiek was aangekondigd, maar vanwege mitigerende maatregelen is afgeschaald naar het lagere impactniveau "High". Via de kwetsbaarheid (CVE-2022-3602) kan een aanvaller een denial of service veroorzaken of in potentie op afstand code uitvoeren. Veel platformen maken echter gebruik van beveiligingsmaatregelen die dergelijke remote code execution moeten voorkomen, aldus het OpenSSL Project Team.

OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde. De ontwikkelaars laten van tevoren weten wanneer beveiligingsupdates voor OpenSSL uitkomen en wat daarvan de impact is. Vorige week werd aangekondigd dat een kritieke kwetsbaarheid zou worden verholpen. Een beveiligingslek met een dergelijke impact is pas één keer eerder in de software verholpen, namelijk in 2016.

Tal van securitybedrijven en overheidsinstanties riepen organisaties dan ook op om zich voor te bereiden, ook al speelt het probleem alleen in OpenSSL 3.0, dat veel minder wordt gebruikt dan OpenSSL 1.1.1. Nu laat het OpenSSL Project Team weten dat er twee kwetsbaarheden in OpenSSL 3.0 zijn verholpen die beide een "high" impact hebben. Dit is het één na hoogste impactniveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit.

De twee nu verholpen kwetsbaarheden, CVE-2022-3602 en CVE-2022-3786, doen zich voor bij de verificatie van X.509-certificaten. Door middel van een speciaal geprepareerd e-mailadres kan een aanvaller een buffer overrun veroorzaken wat voor een crash van de server kan zorgen. Hiervoor zou een certificaatautoriteit wel eerst een malafide certificaat moeten hebben gesigneerd of een applicatie moeten blijven proberen om een certificaat te verifiëren, ook al is het niet mogelijk om dit bij een vertrouwde uitgever te controleren.

In het geval van een TLS-client is de aanval mogelijk wanneer er met een malafide server verbinding wordt gemaakt. Bij een TLS-server is het mogelijk wanneer de server aan clients vraagt zich te authenticeren en een malafide client verbinding maakt.

Via CVE-2022-3602 zou ook remote code execution mogelijk zijn. Veel platformen maken echter gebruik van stack overflow-beveiliging, wat tegen het risico van een dergelijke aanval beschermt. Vanwege deze mitigerende factoren is de kwetsbaarheid lager ingeschaald. Desondanks worden organisaties opgeroepen om de update naar OpenSSL 3.0.7 wel te installeren. Het Nationaal Cyber Security Centrum (NCSC) houdt een lijst van kwetsbare applicaties bij, aangezien OpenSSL door veel programma's wordt gebruikt. Ook deze programma's zullen de komende tijd met updates komen.

Reacties (8)
01-11-2022, 17:29 door CorChando
Wat een zinloze paniek. Ongelofelijk.

De kans dat iemand deze lekken uitgebuit krijgt is nagenoeg 0 en tijdens de ontwikkeling van de fix kwamen ze erachter dat het al geen critical meer was. Maar in plaats van afschalen en de blinde paniek van velen wat weg te nemen kiezen ze ervoor om tot het laatste moment te wachten.

De volgende keer, en dan is er mogelijk wel een echt groot probleem, zal een deel van de wereld denken: "het zal wel weer". Echt ontzettend niet snugger van de ontwikkelaars dit.
01-11-2022, 17:40 door Anoniem
Door CorChando: Wat een zinloze paniek. Ongelofelijk.

De kans dat iemand deze lekken uitgebuit krijgt is nagenoeg 0 en tijdens de ontwikkeling van de fix kwamen ze erachter dat het al geen critical meer was. Maar in plaats van afschalen en de blinde paniek van velen wat weg te nemen kiezen ze ervoor om tot het laatste moment te wachten.

De volgende keer, en dan is er mogelijk wel een echt groot probleem, zal een deel van de wereld denken: "het zal wel weer". Echt ontzettend niet snugger van de ontwikkelaars dit.
Beste stuurlui....
Ik vond het wel een goed oefening in security awareness. Velen begrijpen de impact van deze library niet. Dat het alleen 3.0 betrof, maakte het voor beheerders als een stuk makkelijker.
01-11-2022, 18:22 door Anoniem
Ligt dit nu aan mij of is dit een storm in een glas water?

Oke, er moet gepatched worden, maar bij ons bedrijf zal iedereen standby om direct actie te ondernemen.
Als ik dit lees, valt het erg mee.

Blunder?
01-11-2022, 18:23 door Anoniem
GnuPG had kort geleden ook een probleem met het parsen van X.509 certificaten. https://gnupg.org/blog/20221017-pepe-left-the-ksba.html.
The task of Libksba is to parse and build ASN.1 objects as used by S/MIME, X.509, and CMS.

Misschien een geval van copy-paste zonder de auteur te crediten?? Het probleem in GnuPG is nu al twee weken gefixt.
01-11-2022, 19:57 door Anoniem
ach ik zie de update van RedHat wel verschijnen binnen de komende dagen.
01-11-2022, 20:10 door Anoniem
Kijk kijk kijk, ik zie de patch al voor RHEL 9 en op dit moment wordt ie geport naar Rocky 9. Waarschijnlijk is de update er morgen al dus.

https://access.redhat.com/errata/RHSA-2022:7288
https://incoming.releng.rockylinux.org/
02-11-2022, 07:50 door Anoniem
Door Anoniem: Kijk kijk kijk, ik zie de patch al voor RHEL 9 en op dit moment wordt ie geport naar Rocky 9. Waarschijnlijk is de update er morgen al dus.

https://access.redhat.com/errata/RHSA-2022:7288
https://incoming.releng.rockylinux.org/

yep updates vannacht binnen en installed... storm in een glas water.
02-11-2022, 10:19 door Anoniem
Door Anoniem:
yep updates vannacht binnen en installed... storm in een glas water.
Ja ok de meeste mensen hebben gewoon de dagelijkse auto-update draaien en hebben nooit last van dit soort dingen.
Maar wat nou voor die superbelangrijke lui die alle patches eerst uitgebreid moeten testen voor ze die aanbrengen en
die nou helemaal in de stress zaten en gisteren middag hun vinger op F5 hadden om die patch te zien verschijnen en
met de andere hand de internetkabel in de hand hadden om die er uit te trekken om de armageddon te ontlopen?
Die zullen toch wel behoorlijk pissed zijn over deze hele gang van zaken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.