Корпорация Microsoft выпустила серию обновлений, закрывающих несколько уязвимостей в продуктах Azure Linux, GitHub Copilot Chat и интегрированных сторонних компонентах. Среди исправленных проблем - три критических недостатка в криптографической библиотеке OpenSSL, ошибка в модуле DBI для Perl, а также уязвимость обхода механизмов безопасности в GitHub Copilot Chat. Эксплуатация некоторых из этих уязвимостей может привести к утечке конфиденциальных данных или к отказу в обслуживании.
Детали уязвисотей
Наиболее серьёзные проблемы затронули библиотеку OpenSSL, используемую в дистрибутиве Azure Linux (версии azl3 с openssl 3.3.5-5, 3.3.7-1 и более ранние). Первая из них, зарегистрированная под идентификатором CVE-2026-34183, связана с обработкой PATH_CHALLENGE-запросов в протоколе QUIC. Суть уязвимости в том, что удалённый злоумышленник может направлять на сервер или клиент QUIC поток пакетов с PATH_CHALLENGE-фреймами. Каждый такой фрейм заставляет стек QUIC выделять память для ответного PATH_RESPONSE-фрейма, которая освобождается только после подтверждения получения ответа атакующей стороной. Поскольку злоумышленник не отправляет подтверждение, память переполняется, что приводит к аномальному завершению приложения и отказу в обслуживании.
Вторая уязвимость в OpenSSL, CVE-2026-42768, заключается в возможности организовать Bleichenbacher-атаку на функции расшифровки CMS- и PKCS7-сообщений. Если приложение использует API CMS_decrypt() или PKCS7_decrypt() без указания сертификата получателя, злоумышленник может сконструировать сообщение с двумя записями KeyTransRecipientInfo. Первая содержит корректный ключ шифрования под открытым ключом жертвы, вторая - произвольный пробный шифротекст. Анализируя коды ошибок, возвращаемые приложением, атакующий получает возможность дешифровать любое сообщение, зашифрованное RSA-ключом жертвы, или подделать подпись. Вторая разновидность атаки возможна, когда приложение использует API с указанием сертификата, но получатель не найден - тогда подставляется случайный ключ, а различия в коде ошибки и результате дешифрования тоже создают Bleichenbacher-оракул. Разработчики OpenSSL подчёркивают, что практических сценариев, позволяющих удалённо эксплуатировать данную уязвимость, пока не обнаружено, и оценивают её уровень опасности как низкий.
Третья проблема OpenSSL, CVE-2026-45446, связана с некорректной обработкой пустых сообщений в режимах AES-SIV и AES-GCM-SIV. Эти режимы обеспечивают защиту от повторного использования nonce и применяются для аутентификации дополнительных данных (AAD). В реализациях OpenSSL при дешифровании пустого шифротекста тег аутентификации не пересчитывается - он остаётся нулевым. Злоумышленник, отправивший произвольные AAD и пустой шифротекст с нулевым тегом, может подделать любое сообщение без знания ключа. Для атаки необходимо, чтобы приложение самостоятельно реализовало протокол с использованием этих режимов и пропускало операцию обновления шифротекста при получении пустого сообщения. В самих протоколах OpenSSL (TLS, CMS, QUIC) эти режимы не применяются, поэтому массовых рисков нет.
Отдельного внимания заслуживает уязвимость CVE-2026-9698, затрагивающая модуль DBI для Perl (версии до 1.648), который используется в Azure Linux. Ошибка связана с сохранением сообщений об ошибках в буфер ограниченного размера (200 байт) без контроля длины. Если злоумышленник может влиять на текст ошибки, возникающей при установке флагов RaiseError, PrintError или HandleError, он способен вызвать переполнение буфера. Это чревато выполнением произвольного кода в контексте приложения, обрабатывающего базу данных. Уязвимость затрагивает версии perl-DBI 1.643-3 и более ранние в составе Azure Linux.
Пятая уязвимость, CVE-2026-50519, относится к GitHub Copilot Chat - функции искусственного интеллекта, встроенной в Visual Studio Code. Из-за инициализации ресурса с небезопасными настройками по умолчанию неавторизованный злоумышленник может получить доступ к данным через сеть. Речь идёт о раскрытии информации (конфиденциальности), что может быть опасно при совместной работе над проектами или в корпоративной среде. Уровень опасности оценён как средний (6.5 баллов по CVSS). Исправление доступно в версии 1.123.2 и выше.
Microsoft рекомендует всем пользователям Azure Linux, разработчикам, использующим GitHub Copilot Chat, а также администраторам, применяющим библиотеку OpenSSL в своих проектах, как можно скорее установить выпущенные обновления. Для Azure Linux патчи распространяются через стандартные репозитории пакетов. Для GitHub Copilot Chat обновление выполняется автоматически через Visual Studio Code, но может потребоваться перезапуск редактора. Разработчикам, использующим OpenSSL напрямую, следует обновить библиотеку до версий 3.0.21, 3.4.6, 3.5.7, 3.6.3 или 4.0.1 в зависимости от поддерживаемой ветки. Дополнительные временные меры защиты не предусмотрены: только установка патчей полностью устраняет описанные риски.
В целом ситуация демонстрирует сохраняющуюся тенденцию к выявлению уязвимостей в широко используемых криптографических библиотеках и инструментах разработки. Регулярное обновление компонентов остаётся основной мерой защиты от атак, направленных на переполнение памяти, обход аутентификации и раскрытие данных.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-34183
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42768
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45446
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50519
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-9698
