Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa

Tietojen salaamiseen ja salattuun välittämiseen käytetyn OpenSSL-kirjaston versiosta 3.0 on löydetty kaksi vakavaa haavoittuvuutta. Uusin versio 3.0.7 on syytä päivittää mahdollisimman pian. Haavoittuvuudet eivät koske vanhempia 1.1.1 tai sitä edeltäneitä versioita.

Tietojen salaamiseen ja salattuun välittämiseen käytettyä OpenSSL-kirjastoa hyödynnetään lukuisissa järjestelmissä, mutta haavoittuva versio 3.0 ei ole vielä käytössä niin laajasti kuin aikaisemmat versiot. OpenSSL on käytössä esimerkiksi palvelimissa, verkkolaitteissa, sulautetuissa järjestelmissä ja konttitoteutuksissa. OpenSSL kertoo blogissaan (ulkoinen linkki) korjatuista haavoittuvuuksista.

Aluksi kriittiseksi arvioidut haavoittuvuudet CVE-2022-3602 ja CVE-2022-3678 muuttuivat OpenSSL:n ja yhteistyötahojen tarkastelun jälkeen luokitukseltaan vakaviksi. Sähköpostiosoitteiden käsittelyyn liittyvät haavoittuvuudet voivat pahimmillaan mahdollistaa etänä suoritettavat komennot - mutta todennäköisin tilanne on palvelunestotila.

Järjestelmien ylläpitäjien tulee päivittää OpenSSL:n versiot 3.0.0 - 3.0.6 uusimpaan versioon 3.0.7. Haavoittuvuudet eivät koske vanhempaa versiota 1.1.1q, eikä sitä tarvitse näiden haavoittuvuuksien vuoksi päivittää versioon 3.0.7. On kuitenkin suositeltavaa tarkistaa, ettei organisaatiossa ole enää käytössä vanhoja 0.9 ja 1.0 versioita, vaan ne on päivitetty vähintään versioon 1.1.1q tai uusimpaan versioon 1.1.1s (tämä aliversio ei sisältänyt tietoturvapäivityksiä).

Haavoittuvuus koskee organisaatioita ja järjestelmien ylläpitäjiä.

Haavoittuvuuden kohde

OpenSSL 3.0.0 - 3.0.6

Haavoittuvuus ei koske OpenSSL:n vanhempia versioita.

Mistä on kysymys?

Päivitä OpenSSL versiot 3.0.0 - 3.0.6 versioon 3.0.7.

OpenSSL-haavoittuvuustiedote (ulkoinen linkki)

Linkki OpenSSL:n blogiin aiheesta (ulkoinen linkki)

Alankomaiden NCSC-NL infosivu aiheesta GitHubissa (ulkoinen linkki)

Alankomaiden NCSC-NL sivu haavoittuvista järjestelmistä (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.