OpenSSL er et gratis softwareprojekt baseret på SSLeay.
Der blev frigivet oplysninger om frigivelse af en korrigerende version af kryptobiblioteket OpenSSL 3.0.7, som løser to sårbarhedersom hvilken og hvorfor denne korrigerende version blev udgivet ved bufferoverløb, der udnyttes ved validering af X.509-certifikater.
Det er værd at nævne det begge problemer er forårsaget af et bufferoverløb i koden for at validere e-mail-adressefeltet i X.509-certifikater og kan forårsage kodeudførelse ved behandling af et specielt udformet certifikat.
På tidspunktet for udgivelsen af rettelsen havde OpenSSL-udviklerne ikke rapporteret eksistensen af en funktionel udnyttelse, der kunne føre til eksekvering af angriberens kode.
Der er et tilfælde, hvor serverne kunne blive udnyttet via TLS-klientgodkendelse, som kan omgå CA-signeringskrav, da klientcertifikater generelt ikke kræves underskrevet af en betroet CA. Da klientgodkendelse er sjælden, og de fleste servere ikke har den aktiveret, bør udnyttelse af serveren være lav risiko.
Angriberne kunne udnytte denne sårbarhed ved at dirigere klienten til en ondsindet TLS-server som bruger et specielt udformet certifikat til at udløse sårbarheden.
Selvom pre-release-meddelelsen for den nye udgivelse nævnte et kritisk problem, blev sårbarhedsstatussen faktisk nedgraderet til Dangerous, but not Critical i den frigivne opdatering.
I henhold til de regler, der er vedtaget i projektet sværhedsgraden sænkes i tilfælde af et problem i atypiske konfigurationer eller ved lav sandsynlighed for at udnytte en sårbarhed i praksis. I dette tilfælde er sværhedsgraden blevet sænket, da udnyttelse af sårbarheden er blokeret af de stackoverløbsbeskyttelsesmekanismer, der bruges på mange platforme.
Tidligere meddelelser af CVE-2022-3602 beskrev dette problem som KRITISK. Yderligere analyse baseret på nogle af de formildende faktorer, der er skitseret ovenfor, har ført til, at dette er blevet nedgraderet til HØJ.
Brugere opfordres stadig til at opdatere til en ny version så hurtigt som muligt. På en TLS-klient kan dette udløses ved at oprette forbindelse til en ondsindet server. På en TLS-server kan dette udløses, hvis serveren anmoder om klientgodkendelse, og en ondsindet klient forbinder. OpenSSL versioner 3.0.0 til 3.0.6 er sårbare over for dette problem. OpenSSL 3.0-brugere bør opgradere til OpenSSL 3.0.7.
af de identificerede problemer følgende er nævnt:
CVE-2022-3602- Oprindeligt rapporteret som kritisk, forårsager en sårbarhed et 4-byte bufferoverløb ved verificering af et specielt udformet e-mailadressefelt i et X.509-certifikat. På en TLS-klient kan sårbarheden udnyttes ved at oprette forbindelse til en server, der styres af angriberen. På en TLS-server kan sårbarheden udnyttes, hvis der bruges klientgodkendelse ved hjælp af certifikater. I dette tilfælde manifesterer sårbarheden sig i stadiet efter verificeringen af den tillidskæde, der er forbundet med certifikatet, det vil sige, at angrebet kræver, at certificeringsmyndigheden validerer angriberens ondsindede certifikat.
CVE-2022-3786: Det er en anden vektor for udnyttelse af sårbarheden CVE-2022-3602, der blev identificeret under analysen af problemet. Forskellene bunder i muligheden for at overfylde stakbufferen med et vilkårligt antal bytes. indeholdende tegnet ".". Problemet kan bruges til at få en app til at gå ned.
Sårbarhederne vises kun i OpenSSL 3.0.x-grenen, OpenSSL version 1.1.1 samt LibreSSL- og BoringSSL-bibliotekerne afledt af OpenSSL er ikke berørt af problemet. Samtidig blev der udgivet en opdatering til OpenSSL 1.1.1s, som kun indeholdt ikke-sikkerhedsfejlrettelser.
OpenSSL 3.0-grenen bruges af distributioner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Brugere af disse systemer anbefales at installere opdateringer så hurtigt som muligt (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 er pakker med OpenSSL 3.0 tilgængelige som ekstraudstyr, systempakker bruger 1.1.1-grenen. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 og FreeBSD forbliver i OpenSSL 1.x-grenene.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne i følgende link.