Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Neue OpenSSL-Schwachstellen werden von KernelCare Enterprise behoben
Joao Correia
Februar 22, 2023 - Technischer Evangelist
Patches für kürzlich entdeckte OpenSSL-Schwachstellen sind bereits über TuxCare's KernelCare Enterprise verfügbar. Für einige Distributionen haben wir diese Patches bereits veröffentlicht, bevor die vom Hersteller bereitgestellten Updates zur Verfügung gestellt wurden. Lesen Sie weiter, um mehr über die einzelnen Sicherheitslücken zu erfahren.
Mit KernelCare Enterprise erhalten Sie Sicherheits-Live-Patches für den Linux-Kernel und über die LibCare-Komponente auch Live-Patches für wichtige Systembibliotheken wie glibc und OpenSSL.
Beides sind verlockende Ziele für Bedrohungsakteure, aber auch äußerst störende Komponenten, die gepatcht werden müssen, wenn Sie keinen Live-Patching-Ansatz verwenden, da herkömmliche Sicherheitsupdates für beide Komponenten einen zusätzlichen Systemneustart oder zumindest einen Neustart der Dienste erfordern.
Wenn Sie sich auf OpenSSL verlassen, um sicherzustellen, dass Ihre verschlüsselte Kommunikation, Zertifikate und andere kryptografische Arbeiten sicher durchgeführt werden, ist es immer ein Problem, wenn neue Schwachstellen auftauchen. Um Ihre Systeme zu schützen, haben wir, wie schon viele andere Male in der Vergangenheitarbeitet das KernelCare-Team unermüdlich daran, Sie in solchen Situationen mit den neuesten Updates zu versorgen.
Die Beratung
Am 7. Februar veröffentlichte das OpenSSL-Team Informationen über vier neue Sicherheitslücken die den OpenSSL 1.x-Zweig betreffen (CVE-2023-0286, CVE-2023-0215, CVE-2022-4304 und CVE-2023-4450). Sie reichen von mäßigem bis hohem Risiko. Dieser Zweig von OpenSSL ist in den Linux-Distributionen für Unternehmen am weitesten verbreitet.
Live-Patches zur Behebung dieser Schwachstellen sind bereits für Benutzer von KernelCare Enterprise unter CentOS7/Oracle EL7/Cloud Linux 7/RHEL7, CentOS8/Oracle EL8/Cloud Linux 8/RHEL 8/RockyLinux 8/AlmaLinux 8, Amazon2, Debian10, Ubuntu-Bionic und Ubuntu-Focal verfügbar. Patches für weitere unterstützte Systeme werden in Kürze veröffentlicht, und dieser Artikel wird aktualisiert, wenn dies geschieht.
Es ist wichtig zu wissen, dass die Patches vor den regulären Aktualisierungen einiger Linux-Distributionen veröffentlicht werden, so dass Ihre Systeme nicht nur ohne Unterbrechung, sondern auch schneller als bei herkömmlichen, vom Hersteller bereitgestellten Aktualisierungen gesichert sind. Die Anbieter von Linux-Distributionen brauchen manchmal länger als erwünscht, um aktualisierte Pakete für ihre Benutzer bereitzustellen.
Andere Distributionen wie RHEL 7 (und seine Derivate) sind betroffen, erhalten aber keine Patches des Herstellers, da sie unter den "außerhalb des Supportbereichs" fallen.
Sie erhalten diese Updates weiterhin über LibCare von TuxCare, da unser Entwicklungsteam den korrigierten Code direkt aus dem Upstream-OpenSSL-Code zurückportiert hat.
Ein genauerer Blick auf die Schwachstellen
Wie bereits erwähnt, ermöglicht OpenSSL die Durchführung zahlreicher kryptografischer Aufgaben, darunter das Signieren, Parsen und Validieren von Zertifikaten. Es wurde festgestellt, dass durch die Erstellung eines Zertifikats mit einem bestimmten Werttyp (eine X.400-Adresse) innerhalb einer X.509 GeneralName, kann ein Angreifer eine Anwendung dazu zwingen, bestimmte Speicherinhalte zu lesen. Dies wiederum könnte zur Offenlegung von Informationen oder zu einer Dienstverweigerung (durch Absturz der Anwendung) führen.
Die Ergebnisse eines erfolgreichen Angriffs sind zwar gefährlich, aber es gibt keine Anzeichen für eine aktive Nutzung "in freier Wildbahn", und die Einrichtung des Angriffs erfordert eine Reihe komplizierter Schritte und eine besondere Nutzung auf der Anwendungsseite.
OpenSSL bietet Anwendungen auf Code-Ebene Stream-ähnliche Funktionen mit einer Abstraktion namens "BIO." Das Konzept ähnelt einem "FILE *" in C und ermöglicht es einem Entwickler, sich auf transparente Weise auf die Verschlüsselungsfunktionalität zu verlassen, wobei die zugrundeliegenden, manchmal schwer zu verstehenden kryptographischen Funktionen innerhalb von OpenSSL verborgen sind.
"BIO_new_NDEF" ist eine Hilfsfunktion zum Streamen von ASN.1 Daten. Die Art und Weise, wie verschiedene "BIO"-Funktionen miteinander verkettet werden können, um High-Level-Funktionen bereitzustellen (z. B. Empfangen->Entschlüsseln->Kopieren->Verschlüsseln), könnte missbraucht werden, indem ein NULL-Ergebnis von "BIO_new_NDEF" ausgelöst wird und die Kette unerwartet unterbrochen wird. In diesem Fall käme es zu einem use-after-free und die Anwendung könnte abstürzen (oder schlimmer noch, in einem undefinierten Zustand zurückbleiben).
Viele öffentlich zugängliche Funktionen in OpenSSL rufen die betroffene Funktion intern auf, so dass die Angriffsfläche viel größer ist als bei einer einzelnen defekten Funktion.
Seitenkanalangriffe beruhen auf beobachtbarem Verhalten, das nicht notwendigerweise mit dem angegriffenen Code zusammenhängt, sondern vielmehr auf Merkmalen wie einer bestimmten Operation, die mehr oder weniger Zeit für die Ausführung benötigt, mehr oder weniger Speicherplatz verbraucht, oder bestimmten Einstellungen einer bestimmten Umgebung, um daraus versteckte Informationen abzuleiten.
Es wurde festgestellt, dass es möglich ist, Klartextinformationen aus der Ferne wiederherzustellen, indem eine große Anzahl von Nachrichten zur Entschlüsselung gesendet und die Zeit zur Verarbeitung dieser Nachrichten gemessen wird. Es wäre möglich, die in einem TLS-Verbindungs-Handshake mit RSA-Verschlüsselung verwendeten Primzahlen zu ermitteln (die OpenSSL-Enthüllung vergleicht dies mit einem "Bleichenbacher-Angriff").
Es ist bemerkenswert, dass erste Informationen über eine potenzielle Möglichkeit eines zeitlichen Seitenkanals bereits im Juli 2020 vorgelegt wurden und das Problem erst jetzt eingegrenzt und behoben werden konnte.
Der Umgang mit jeder Art von benutzergesteuerter Eingabe ist für eine Anwendung immer riskant, da böswillige Akteure ausgeklügelte Eingaben erstellen können, die bestimmten Code missbrauchen und zu unerwarteten Ergebnissen führen. Wiederum im Zertifikatsverarbeitungsteil von OpenSSL könnte ein speziell präpariertes PEM-kodiertes Zertifikat mit 0 Byte Nutzdaten einen Use-after-free-Bug auslösen und wahrscheinlich zu einem Anwendungsabsturz (und einem anschließenden Denial-of-Service) führen.
Diese Art der Überprüfung ist in Anwendungen und Diensten sowie direkt in den von OpenSSL bereitgestellten Kommandozeilenprogrammen sehr verbreitet.
Sichere Systeme - schneller und zuverlässiger
KernelCare Enterprise stellt über LibCare die Aktualisierungen bereit, die für die Aufrechterhaltung der Systemsicherheit in kritischen Situationen erforderlich sind, in denen jede Verzögerung, wie z. B. das Warten auf ein Wartungsfenster, einfach zu lang ist, um sie in Kauf zu nehmen. Obwohl wir es traditionell bevorzugen, spezifische Distributionskorrekturen zu verwenden, werden wir unseren Kunden die Korrekturen dennoch zur Verfügung stellen, wenn diese Distributionen langsam reagieren.
Mit KernelCare Enterprise können Sie sicher sein, dass wir die neuesten Bedrohungen aufspüren und Ihnen die angemessenen Schutzmaßnahmen zur Verfügung stellen, um Ihre Sicherheit und Konformität zu festigen und gleichzeitig die Geschäftsverfügbarkeit ohne Unterbrechung aufrechtzuerhalten.
