OpenSSL és un projecte de programari lliure basat en SSLeay.
Es va donar a conèixer informació sobre la alliberament d'una versió correctiva de la biblioteca criptogràfica OpenSSL 3.0.7, que corregeix dues vulnerabilitats laixí i raó per la qual es va llançar aquesta versió correctiva és pel desbordament de memòria intermèdia explotada en validar certificats X.509.
Cal esmentar que ambdós problemes són causats per un desbordament de memòria intermèdia al codi per validar el camp d'adreça de correu electrònic als certificats X.509 i podrien provocar l'execució del codi en processar un certificat especialment dissenyat.
En el moment de la publicació de la correcció, els desenvolupadors d'OpenSSL no havien registrat l'existència d'un exploit funcional que pogués conduir a executar el codi de l'atacant.
Hi ha un cas en què els servidors podrien explotar-se a través de l'autenticació de client TLS, cosa que pot eludir els requisits de signatura de CA, ja que generalment no es requereix que els certificats de client estiguin signats per una CA de confiança. Com que l'autenticació del client és rara i la majoria dels servidors no la tenen habilitada, l'explotació del servidor hauria de ser de risc baix.
els atacants podrien aprofitar aquesta vulnerabilitat dirigint el client a un servidor TLS maliciós que utilitza un certificat especialment dissenyat per desencadenar la vulnerabilitat.
Tot i que l'anunci prepublicat del nou llançament esmentava l'existència d'un problema crític, en l'actualització publicada, de fet, l'estat de la vulnerabilitat es va reduir a un problema perillós, però no crític.
D'acord amb les regles adoptades en el projecte, el nivell de severitat es redueix en cas d'un problema en configuracions atípiques o en cas d'una baixa probabilitat d'explotar una vulnerabilitat a la pràctica. En aquest cas, es va reduir el nivell de severitat, ja que l‟explotació de la vulnerabilitat està bloquejada pels mecanismes de protecció contra desbordament de pila utilitzats en moltes plataformes.
Els anuncis previs de CVE-2022-3602 van descriure aquest problema com a CRÍTIC. Anàlisi addicional basada en alguns dels factors mitigants descrits anteriorment han fet que això sigui degradat a ALT.
Es continua animant els usuaris a actualitzar a una nova versió tan aviat com sigui possible. En un client TLS, això es pot activar en connectar-se a un servidor maliciós. En un servidor TLS, això es pot activar si el servidor sol·licita autenticació de client i un client maliciós es connecta. Les versions de l'OpenSSL 3.0.0 al 3.0.6 són vulnerables a aquest problema. Els usuaris de l'OpenSSL 3.0 han d'actualitzar a l'OpenSSL 3.0.7.
Dels problemes identificats s'esmenta el següent:
CVE-2022-3602: inicialment es va informar com a crítica, una vulnerabilitat provoca un desbordament del memòria intermèdia de 4 bytes en verificar un camp d'adreça de correu electrònic especialment dissenyat en un certificat X.509. En un client TLS, la vulnerabilitat es pot aprofitar connectant-se a un servidor controlat per l'atacant. En un servidor TLS, la vulnerabilitat es pot aprofitar si es fa servir l'autenticació de client mitjançant certificats. En aquest cas, la vulnerabilitat es manifesta en l'etapa posterior a la verificació de la cadena de confiança associada al certificat, és a dir, L'atac requereix que l'autoritat de certificació validi el certificat maliciós de l'atacant.
CVE-2022-3786: és un altre vector d'explotació de la vulnerabilitat CVE-2022-3602 identificada durant l'anàlisi del problema. Les diferències es redueixen a la possibilitat de desbordar el memòria intermèdia a la pila per un nombre arbitrari de bytes que continguin el caràcter «.». El problema es pot utilitzar per fer que una aplicació es bloquegi.
Les vulnerabilitats apareixen només a la branca OpenSSL 3.0.x, les versions OpenSSL 1.1.1, així com les biblioteques LibreSSL i BoringSSL derivades d'OpenSSL, no es veuen afectades pel problema. Alhora, es va generar una actualització d'OpenSSL 1.1.1s, que només conté correccions d'errors no relacionats amb la seguretat.
La branca OpenSSL 3.0 s'usa en distribucions com Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Es recomana als usuaris d'aquests sistemes que instal·lin les actualitzacions com més aviat millor (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
A SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, els paquets amb OpenSSL 3.0 estan disponibles com a opció, els paquets del sistema usen la branca 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 i FreeBSD romanen a les branques d'OpenSSL 1.x.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.