Όλα εξαρτώνται από το OpenSSL. Αν δεν το γνωρίζετε, το OpenSSL είναι η εφαρμογή που καθιστά δυνατή την χρήση του πρωτοκόλλου ασφαλείας TLS (από το Transport Layer Security) σε Linux, Unix, Windows και πολλά άλλα λειτουργικά συστήματα.
Είναι επίσης η εφαρμογή που χρησιμοποιείται για το κλείδωμα σχεδόν κάθε ασφαλούς εφαρμογής επικοινωνίας και δικτύωσης και βέβαια κάθε συσκευής που κυκλοφορεί.
Όταν λοιπόν ο Mark Cox, ένας διακεκριμένος μηχανικός λογισμικού της Red Hat και ο Αντιπρόεδρος Ασφάλειας του Apache Software Foundation (ASF), έγραψε αυτή την εβδομάδα στο Twitter: “Η ενημέρωση OpenSSL 3.0.7 θα διορθώσει το Critical CVE την επόμενη Τρίτη 1300-1700UTC”, όλοι θα πρέπει να ανησυχούμε.
OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC. Does not affect versions before 3.0. https://t.co/jIRQhx0nCr
— Mark J Cox (@iamamoose) October 25, 2022
Table of Contents
Πόσο κρίσιμο είναι το “Κρίσιμο”;
Σύμφωνα με την OpenSSL, ένα ζήτημα κρίσιμης σοβαρότητας επηρεάζει κοινές διαμορφώσεις και είναι επίσης πιθανό να εκμεταλλευτεί από κακόβουλους χρήστες. Μπορεί να χρησιμοποιηθεί για να γίνει κατάχρηση και αποκάλυψη περιεχομένων μνήμης ενός διακομιστή και πιθανή αποκάλυψη των στοιχείων του χρήστη. Θα μπορούσε να γίνει απομακρυσμένη εκμετάλλευση για παραβίαση των ιδιωτικών κλειδιών του διακομιστή ή απομακρυσμένη εκτέλεση κώδικα. Με άλλα λόγια, σχεδόν όλα όσα δεν θέλετε να συμβούν στα συστήματά σας.
Η ιστορία
Η τελευταία φορά που το OpenSSL είχε ένα κρίσιμο κενό ασφαλείας όπως αυτό ήταν το 2016. Αυτή η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για τη συντριβή και την ανάληψη συστημάτων. Χρόνια μετά την ανακάλυψή του, η εταιρεία ασφαλείας Check Point υπολόγισε ότι επηρέασε πάνω από το 42% των οργανισμών.
Το τωρινό κενό ασφαλείας θα μπορούσε να είναι χειρότερο.
Μπορούμε μόνο να ελπίζουμε ότι δεν θα είναι τόσο κακό όσο το κενό ασφαλείας-πρωταθλητής όλων των εποχών του OpenSSL, το HeartBleed του 2014.
Τα καλά νέα
Υπάρχει όμως και κάτι ενθαρρυντικό. Το νέο κενό ασφαλείας επηρεάζει μόνο τις εκδόσεις 3.0.0 έως 3.0.6 της εφαρμογής OpenSSL. Έτσι, τα παλαιότερα λειτουργικά συστήματα και συσκευές είναι πιθανό να μην έχουν προβλήματα.
Για παράδειγμα, το Red Hat Enterprise Linux (RHEL) 8.x και οι παλαιότερές του εκδόσεις και το Ubuntu 20.04 δεν θα έχουν πρόβλημα.
Όμως το RHEL 9.x και το Ubuntu 22.04, χρησιμοποιούν το OpenSSL 3.x.
Εάν χρησιμοποιείτε οπουδήποτε το OpenSSL 3.x ετοιμαστείτε να ενημερώσετε την Τρίτη. Πρόκειται για ένα επικίνδυνο κενό ασφαλείας και σύντομα θα ακολουθήσουν exploits.