OpenSSL 3.0.7 kom om 'n bufferoorloopprobleem op te los 

Donkerkrizt | | aansoeke

Geen kommentaar nie

OpenSSL_logo

OpenSSL is 'n gratis sagtewareprojek gebaseer op SSLeay. 

Inligting is vrygestel oor die vrystelling van 'n regstellende weergawe van die kripto-biblioteek OpenSSL 3.0.7, wat twee kwesbaarhede regstelsoos wat en hoekom hierdie regstellende weergawe vrygestel is deur buffer-oorloop uitgebuit wanneer X.509-sertifikate bekragtig word.

Dit is die moeite werd om dit te noem beide probleme word veroorsaak deur 'n bufferoorloop in die kode om die e-posadresveld in X.509-sertifikate te bekragtig en kan kode-uitvoering veroorsaak wanneer 'n spesiaal vervaardigde sertifikaat verwerk word.

Ten tyde van die vrystelling van die regstelling het die OpenSSL-ontwikkelaars nie die bestaan ​​van 'n funksionele uitbuiting aangemeld wat tot die uitvoering van die aanvaller se kode kan lei nie.

Daar is 'n geval waar die bedieners uitgebuit kan word via TLS-kliënt-verifikasie, wat CA-ondertekeningvereistes kan omseil, aangesien dit gewoonlik nie vereis word dat kliëntsertifikate deur 'n vertroude CA onderteken moet word nie. Aangesien kliëntverifikasie skaars is en die meeste bedieners dit nie geaktiveer het nie, behoort die ontginning van die bediener 'n lae risiko te wees.

Die aanvallers kan hierdie kwesbaarheid ontgin deur die kliënt na 'n kwaadwillige TLS-bediener te stuur wat 'n spesiaal vervaardigde sertifikaat gebruik om die kwesbaarheid te aktiveer.

Alhoewel die voorvrystellingsaankondiging vir die nuwe vrystelling 'n kritieke probleem genoem het, is die kwesbaarheidstatus in werklikheid afgegradeer na Gevaarlik, maar nie Kritiek nie.

Volgens die reëls wat in die projek aangeneem is, is die ernsvlak word verlaag in geval van 'n probleem in atipiese konfigurasies of in die geval van 'n lae waarskynlikheid om 'n kwesbaarheid in die praktyk te ontgin. In hierdie geval is die ernsvlak verlaag, aangesien die uitbuiting van die kwesbaarheid geblokkeer word deur die stapel-oorloopbeskermingsmeganismes wat op baie platforms gebruik word.

Vorige aankondigings van CVE-2022-3602 het hierdie kwessie as KRITIES beskryf. Bykomende ontleding gebaseer op sommige van die versagtende faktore wat hierbo uiteengesit is, het daartoe gelei dat dit tot HOOG afgegradeer is.

Gebruikers word steeds aangemoedig om so gou moontlik na 'n nuwe weergawe op te dateer. Op 'n TLS-kliënt kan dit geaktiveer word deur aan 'n kwaadwillige bediener te koppel. Op 'n TLS-bediener kan dit geaktiveer word as die bediener kliënt-verifikasie versoek en 'n kwaadwillige kliënt verbind. OpenSSL-weergawes 3.0.0 tot 3.0.6 is kwesbaar vir hierdie probleem. OpenSSL 3.0-gebruikers moet opgradeer na OpenSSL 3.0.7.

van die probleme wat geïdentifiseer is die volgende word genoem:

CVE-2022-3602- Aanvanklik as kritiek gerapporteer, veroorsaak 'n kwesbaarheid 'n 4-grepe buffer oorloop wanneer 'n spesiaal vervaardigde e-posadresveld in 'n X.509-sertifikaat geverifieer word. Op 'n TLS-kliënt kan die kwesbaarheid uitgebuit word deur te koppel aan 'n bediener wat deur die aanvaller beheer word. Op 'n TLS-bediener kan die kwesbaarheid uitgebuit word as kliëntverifikasie met sertifikate gebruik word. In hierdie geval manifesteer die kwesbaarheid in die stadium na die verifikasie van die vertrouesketting wat met die sertifikaat geassosieer word, dit wil sê die aanval vereis dat die sertifiseringsowerheid die aanvaller se kwaadwillige sertifikaat bekragtig.

CVE-2022-3786: Dit is 'n ander vektor van uitbuiting van die kwesbaarheid CVE-2022-3602 wat tydens die ontleding van die probleem geïdentifiseer is. Die verskille kom neer op die moontlikheid om die stapelbuffer met 'n arbitrêre aantal grepe oor te vloei. wat die "."-karakter bevat. Die probleem kan gebruik word om 'n toepassing te laat ineenstort.

Die kwesbaarhede verskyn slegs in die OpenSSL 3.0.x-tak, OpenSSL weergawes 1.1.1, sowel as die LibreSSL en BoringSSL biblioteke afgelei van OpenSSL, word nie deur die probleem geraak nie. Terselfdertyd is 'n opdatering van OpenSSL 1.1.1s vrygestel, wat slegs nie-sekuriteitsfoutoplossings bevat.

Die OpenSSL 3.0-tak word gebruik deur verspreidings soos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​​​Debian-toetsing/onstabiel. Gebruikers van hierdie stelsels word aanbeveel om opdaterings so gou moontlik te installeer (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).

In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 is pakkette met OpenSSL 3.0 as 'n opsie beskikbaar, stelselpakkette gebruik die 1.1.1-tak. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 en FreeBSD bly in die OpenSSL 1.x-takke.

Uiteindelik as u belangstel om meer daaroor te wete te kom, kan u die besonderhede in die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.