OpenSSL je besplatni softverski projekat baziran na SSLeay-u.
Objavljene su informacije o izdanje korektivne verzije kripto biblioteku OpenSSL 3.0.7, koji popravlja dvije ranjivostikoja je i zašto je ova korektivna verzija objavljena preko buffer overflow iskorištava prilikom validacije X.509 certifikata.
Vrijedno je to spomenuti oba problema su uzrokovana prekoračenjem bafera u kodu za provjeru valjanosti polja adrese e-pošte u X.509 certifikatima i može uzrokovati izvršenje koda prilikom obrade posebno kreiranog certifikata.
U vrijeme objavljivanja popravka, OpenSSL programeri nisu prijavili postojanje funkcionalnog exploit-a koji bi mogao dovesti do izvršenja napadačevog koda.
Postoji slučaj kada bi serveri mogli biti eksploatisani putem TLS provjere autentičnosti klijenta, što može zaobići zahtjeve za potpisivanje CA, budući da se klijentski certifikati općenito ne zahtijevaju da budu potpisani od pouzdanog CA. Pošto je autentifikacija klijenta rijetka i većina servera je nema omogućenu, eksploatacija servera bi trebala biti niskog rizika.
Napadači mogao iskoristiti ovu ranjivost usmjeravanjem klijenta na zlonamjerni TLS server koji koristi posebno izrađeni certifikat za pokretanje ranjivosti.
Iako je najava prije izdanja za novo izdanje spominjala kritičan problem, u stvari, u objavljenom ažuriranju status ranjivosti je snižen na Opasno, ali ne i Kritično.
Prema pravilima usvojenim u projektu, nivo ozbiljnosti se smanjuje u slučaju problema u atipičnim konfiguracijama ili u slučaju male vjerovatnoće da će se ranjivost iskoristiti u praksi. U ovom slučaju, nivo ozbiljnosti je smanjen, jer je iskorištavanje ranjivosti blokirano zaštitnim mehanizmima steka od prelijevanja koji se koriste na mnogim platformama.
Prethodne najave CVE-2022-3602 opisale su ovaj problem kao KRITIČAN. Dodatna analiza zasnovana na nekim od olakšavajućih faktora navedenih gore dovela je do toga da je ovo sniženo na VISOK.
Korisnici se i dalje ohrabruju da ažuriraju na novu verziju što je prije moguće. Na TLS klijentu, ovo se može pokrenuti povezivanjem na zlonamjerni server. Na TLS serveru, ovo se može pokrenuti ako server zatraži autentifikaciju klijenta i zlonamjerni klijent se poveže. OpenSSL verzije 3.0.0 do 3.0.6 su ranjive na ovaj problem. Korisnici OpenSSL 3.0 bi trebali nadograditi na OpenSSL 3.0.7.
identifikovanih problema spominje se sljedeće:
CVE-2022-3602- U početku prijavljena kao kritična, ranjivost uzrokuje prelivanje bafera od 4 bajta prilikom provjere posebno kreiranog polja adrese e-pošte u X.509 certifikatu. Na TLS klijentu, ranjivost se može iskoristiti povezivanjem na server koji kontroliše napadač. Na TLS serveru, ranjivost se može iskoristiti ako se koristi provjera autentičnosti klijenta pomoću certifikata. U ovom slučaju, ranjivost se manifestuje u fazi nakon verifikacije lanca poverenja povezanog sa sertifikatom, odnosno napad zahteva od autoriteta za sertifikaciju da potvrdi valjanost zlonamernog sertifikata napadača.
CVE-2022-3786: To je još jedan vektor eksploatacije ranjivosti CVE-2022-3602 identifikovane tokom analize problema. Razlike se svode na mogućnost prelivanja bafera steka za proizvoljan broj bajtova. koji sadrži znak "." Problem se može iskoristiti da izazove pad aplikacije.
Ranjivosti se pojavljuju samo u grani OpenSSL 3.0.x, OpenSSL verzije 1.1.1, kao i biblioteke LibreSSL i BoringSSL izvedene iz OpenSSL-a, nisu pogođene problemom. U isto vrijeme, objavljeno je ažuriranje za OpenSSL 1.1.1s, koje sadrži samo ispravke grešaka koje nisu bezbjednosne.
OpenSSL 3.0 granu koriste distribucije poput Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Korisnicima ovih sistema se preporučuje da instaliraju ažuriranja što je prije moguće (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
U SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, paketi sa OpenSSL 3.0 su dostupni kao opcija, sistemski paketi koriste granu 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 i FreeBSD ostaju u OpenSSL 1.x granama.
Konačno ako ste zainteresirani da saznate više o tome, detalje možete provjeriti u sljedeći link.