Свободный проект криптографической библиотеки OpenSSL выступил с очень серьезным предупреждением по линии безопасности и выпустил патч для уязвимости, получившей код CVE-2015-1793. OpenSSL является широко используемой технологией, помогающей задействовать криптографические протоколы SSL/TLS (Secure Sockets Layer/Transport Layer Security) при передаче данных через Интернет и для серверов, и для устройств конечных пользователей.
Сообщение об уязвимости CVE-2015-1793, озаглавленное «Alternative chains certificate forgery» (Подлог альтернативных цепочек сертификатов), информирует о том, что злоумышленник может имитировать легитимный цифровой сертификат безопасности. Цифровой сертификат SSL/TLS доказывает подлинность и достоверность конкретного сайта и соединения.
«Если в ходе верификации сертификата первая попытка построить цепочку сертификатов будет неудачна, OpenSSL (начиная с версий 1.0.1n и 1.0.2b) делает попытку найти альтернативную цепочку. Ошибка в реализации этой логики может привести к тому, что злоумышленник сможет обойти определенные проверки недостоверных сертификатов, например проверку флага Центра сертификации (CA), и это позволит ему использовать подлинный сертификат низшего уровня в роли CA и „выпустить“ поддельный сертификат», — поясняется в сообщении проекта OpenSSL.
Это означает возможность обойти целостность схемы аутентификации SSL/TLS, которая, как известно, лежит в основе безопасных операций в Интернете, и если злоумышленник знает об этом дефекте, он сможет им воспользоваться.
Однако CVE-2015-1793 уже не является уязвимостью нулевого дня, так как благодаря сотрудникам Google для нее уже создан патч. В извещении проекта OpenSSL отмечается, что об уязвимости CVE-2015-1793 сообщили 24 июня исследователи Google по безопасности Адам Лэнгли и Дэвид Бенджамин. Эти два исследователя заняты в программе Google BoringSSL, запущенной с июня 2014 г.
Компания Google отнюдь не является в OpenSSL посторонним лицом, ее сотрудники были одними из первых, кто в 2014 г. обнаружил в SSL уязвимость Heartbleed. Google также является крупным пользователем OpenSSL, и именно поэтому запустила инициативу BoringSSL. Проект BoringSSL по существу является форком OpenSSL, из которого Google вносит свои изменения (в данном случае исправление безопасности) в вышестоящий проект OpenSSL.
Поскольку проблема CVE-2015-1793 совершенно нова, я для нее не нашел (пока) боеспособных эксплойтов ни в Metasploit, ни в других известных инструментах проникновения. При моем не вполне профессиональном понимании функционирования OpenSSL и деталей уязвимости CVE-2015-1793, я не думаю, что потребуется очень много времени, чтобы превратить экспериментальный код в реальное оружие на базе этого дефекта.
Суть вопроса таким образом ясна. Патч готов, и всем пользователям OpenSSL пора устанавливать обновления. Конечно, легче это сказать, чем сделать. Пользователям Linux-серверов с ОС от крупных поставщиков Linux обновление сделать просто, так как в репозиториях Linux-дистрибутивов уже приготовлен упакованный код. Правда, не все администраторы серверов достаточно расторопны. Кроме того, имеются системы, например Apple OS X и разные варианты Android, для которых патчи (пока) не созданы. На это потребуется время.
Мы то и дело видим сообщения вендоров, указывающие, что первопричиной дыр в безопасности являются известные, но непропатченные уязвимости. Те, кто не поспешил установить патч, могут реально столкнуться с последствиями CVE-2015-1793.