Корпорация IBM выпустила предупреждение о шести уязвимостях в библиотеке OpenSSL, которые затрагивают операционную систему AIX версий 7.2 и 7.3, а также виртуальную среду ввода-вывода VIOS версии 4.1. OpenSSL используется в AIX для обеспечения безопасных сетевых соединений, поэтому проблемы в ней могут привести к серьёзным последствиям для корпоративных инфраструктур. Некоторые из обнаруженных дефектов позволяют злоумышленнику удалённо вызвать утечку конфиденциальных данных, отказ в обслуживании или даже выполнить произвольный код.
Детали уязвимостей
Первая уязвимость, идентификатор CVE-2026-31790, связана с некорректной проверкой результата функции инкапсуляции ключа RSA. Если приложение использует непроверенный открытый ключ, атакующий может получить содержимое неинициализированной области памяти. Таким образом существует риск утечки данных, оставшихся от предыдущих операций процесса. Этот дефект получил оценку 7,5 балла по шкале CVSS (Common Vulnerability Scoring System - система оценки критичности уязвимостей) и затрагивает модули FIPS (федеральный стандарт обработки информации) версий 3.0-3.6. В качестве временной меры разработчики рекомендуют вызывать функцию проверки открытого ключа до инкапсуляции.
Следующий недостаток, CVE-2026-28387, представляет собой ошибку использования после освобождения памяти (use‑after‑free). Она проявляется только в специфических конфигурациях клиентов, применяющих DANE TLSA (протокол аутентификации серверов на основе записей DNS). Если клиент обрабатывает одновременно записи с типами PKIX и DANE‑TA, а сервер публикует оба типа, возможно повреждение данных или выполнение произвольного кода. Впрочем, такие сценарии редки: большинство реализаций SMTP (протокол электронной почты) не используют опасные комбинации. Оценка CVSS - 8,1 балла.
Три уязвимости относятся к разыменованию нулевого указателя (NULL pointer dereference). CVE-2026-28388 возникает при обработке дельта-списка отзыва сертификатов (CRL, Certificate Revocation List), когда отсутствует обязательное расширение с номером CRL. Атакующий может предоставить вредоносный список и вызвать крах приложения. Уязвимости CVE-2026-28389 и CVE-2026-28390 затрагивают обработку зашифрованных сообщений CMS (Cryptographic Message Syntax - синтаксис криптографических сообщений). При разборе данных с отсутствующими необязательными полями происходит обращение к нулевому указателю, что также приводит к отказу в обслуживании. Все три дефекта оценены в 7,5 балла по CVSS и не выходят за рамки краха приложения - выполнение кода невозможно.
Наконец, CVE-2026-31789 - это переполнение буфера в куче на 32‑разрядных платформах. При преобразовании чрезвычайно большого значения строки OCTET STRING в сертификате X.509 размер буфера вычисляется умножением на три. На 32‑битной архитектуре возможно переполнение, что грозит аварийным завершением или потенциальным выполнением произвольного кода. Однако атакующему потребуется предъявить сертификат размером свыше гигабайта, а печать таких данных маловероятна. Поэтому компании присвоили этой уязвимости низкий уровень серьёзности, хотя базовая оценка CVSS составляет 9,8 балла.
Под удар попадают системы AIX 7.2 и 7.3, а также VIOS 4.1 с версиями пакета openssl.base от 3.0.0.0 до 3.0.16.1000 включительно. Отметим, что все версии OpenSSL ниже 3.0 уже не получают обновлений, поэтому их использование крайне рискованно. IBM выпустила временные исправления (interim fix) для OpenSSL 3.0.16.1000. Скачать архив с патчами можно по адресу https://aix.software.ibm.com/aix/efixes/security/openssl_fix47.tar.
Администраторам настоятельно рекомендуется проверить наличие уязвимого пакета с помощью команды "lslpp -L | grep -i openssl.base" и применить исправление как можно быстрее. Для установки временного фикса используется утилита "emgr". Перед инсталляцией стоит выполнить предварительный просмотр: "emgr -e ipkg_name -p". Если фикс уже установлен, его повторное применение не требуется. Полные инструкции и контрольные суммы для верификации приведены в бюллетене безопасности IBM.
Учитывая, что многие уязвимости эксплуатируются удалённо без аутентификации, задержка с обновлением может привести к компрометации серверов AIX. Особенно опасна ситуация для сред, где AIX используется в критически важных бизнес-приложениях или финансовых системах. Специалистам по информационной безопасности следует внести установку исправления в план первоочередных работ.
Таким образом, обнаруженные дефекты охватывают широкий спектр потенциальных атак - от утечки памяти до полного отказа в обслуживании. Хотя некоторые из них реализуются только в редких конфигурациях, общая картина требует немедленного внимания. Производитель не предлагает обходных путей кроме установки патчей. Поэтому единственный надёжный способ защитить инфраструктуру - своевременно обновить OpenSSL на всех подверженных системах.
