Поделиться
В библиотеке OpenSSL найден тривиальный баг, который стал «проблемой для большей части интернета»
В библиотеке OpenSSL выявлена и устранена уязвимость переполнения буфера. Ввиду распространённости OpenSSL угроза оказалась критической вдвойне.
62 байта
Проект OpenSSL, занимающийся разработкой одноимённой криптографической библиотеки, объявил об исправлении одной критической и одной среднеопасной уязвимости в своём программном коде.
Открытая библиотека OpenSSL используется во множестве веб-серверов и в большинстве сайтов, поддерживающих HTTPS.
Уязвимость позволяет злоумышленнику вызвать ошибку переполнения буфера: для этого нужно подать на приложение для расшифровки контент, зашифрованный алгоритмом SM2; эти данные могут переполнить выделенный буфер памяти - как максимум, на 62 байта; тем самым может изменяться контент других данных, расположенных за этим буфером, что в теории может привести к изменению поведения приложения или его выходу из строя.
Расположение буфера зависит от приложения, но, как правило, он находится в куче - структуре данных, с помощью которой реализована динамически распределяемая память приложения.
Уязвимость, выявленная экспертом по имени Джон Оуянь (John Ouyang), получила индекс CVE-2021-3711. Ей присвоен критический индекс - 9,8 балла по шкале CVSS. Проблема устранена в версии OpenSSL 1.1.1l.
«Переполнение буфера - весьма типичная ошибка в программировании, встречающаяся повсеместно и регулярно в программных разработках любого уровня, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что OpenSSL - чрезвычайно распространённая библиотека, вследствие чего тривиальный «баг» превращается в проблему для большей части интернета».
Дистрибутивы Linux
Разработчики дистрибутива Red Hat Linux сообщили, что в версиях Red Hat Enterprise Linux 7 и 8 OpenSSL лишён поддержки алгоритма SM2, так что уязвимость отсутствует. Red Hat Advanced Cluster Management for Kubernetes 2.3.1 и прежних версиях поддерживается уязвимая версия библиотеки OpenSSL, но при этом «путь к уязвимому коду закрыт», поэтому вероятность эксплуатации минимальна.
Разработчики Debian, SuSE и Ubuntu подтвердили, что уязвимость затрагивает как минимум часть их пакетов и выпустили необходимые исправления. Ввиду повышенной опасности этой ошибки рекомендуется установить данные обновления как можно скорее.
Ещё одна исправленная ошибка
Кроме этого, разработчики проекта OpenSSL устранили ещё одну, менее опасную уязвимость, обозначенную как CVE-2021-3712. Этот «баг» позволяет раскрывать конфиденциальное содержимое памяти (в том числе, приватные ключи) или вызывать сбой приложения.
Уязвимость затрагивает версии 1.1.1-1.1.1k, а также 1.0.2-1.0.2y; исправления внесены в версиях 1.1.1j и 1.0.2za, соответственно.
Короткая ссылка
