OpenSSL ist ein freies Softwareprojekt, das auf SSLeay basiert.
Es wurden Informationen über die veröffentlicht Veröffentlichung einer korrektiven Version von die Kryptobibliothek OpenSSL 3.0.7, das zwei Schwachstellen behebtwie und warum diese Korrekturversion veröffentlicht wurde durch Pufferüberlauf, der bei der Validierung von X.509-Zertifikaten ausgenutzt wird.
Es lohnt sich das zu erwähnen beide Probleme werden durch einen Pufferüberlauf verursacht im Code zur Validierung des E-Mail-Adressfelds in X.509-Zertifikaten enthalten und könnte bei der Verarbeitung eines speziell gestalteten Zertifikats zur Codeausführung führen.
Zum Zeitpunkt der Veröffentlichung des Fixes hatten die OpenSSL-Entwickler nicht die Existenz eines funktionalen Exploits gemeldet, der zur Ausführung des Codes des Angreifers führen könnte.
Es gibt einen Fall, in dem die Server ausgenutzt werden könnten über TLS-Client-Authentifizierung, die CA-Signaturanforderungen umgehen kann, da Client-Zertifikate im Allgemeinen nicht von einer vertrauenswürdigen CA signiert werden müssen. Da die Client-Authentifizierung selten ist und die meisten Server sie nicht aktiviert haben, sollte das Ausnutzen des Servers ein geringes Risiko darstellen.
Die Angreifer könnte diese Schwachstelle ausnutzen, indem der Client auf einen böswilligen TLS-Server umgeleitet wird der ein speziell gestaltetes Zertifikat verwendet, um die Schwachstelle auszulösen.
Obwohl die Vorab-Ankündigung für die neue Version ein kritisches Problem erwähnte, wurde der Schwachstellenstatus im veröffentlichten Update tatsächlich auf „Gefährlich“, aber nicht auf „Kritisch“ herabgestuft.
Gemäß den im Projekt angenommenen Regeln, die Der Schweregrad wird im Falle eines Problems in atypischen Konfigurationen gesenkt oder im Falle einer geringen Wahrscheinlichkeit, eine Schwachstelle in der Praxis auszunutzen. In diesem Fall wurde der Schweregrad herabgesetzt, da die Ausnutzung der Schwachstelle durch die auf vielen Plattformen verwendeten Stack-Overflow-Schutzmechanismen blockiert wird.
Frühere Ankündigungen von CVE-2022-3602 haben dieses Problem als KRITISCH beschrieben. Eine zusätzliche Analyse auf der Grundlage einiger der oben beschriebenen mildernden Faktoren hat dazu geführt, dass dies auf HOCH herabgestuft wurde.
Benutzer werden weiterhin aufgefordert, so schnell wie möglich auf eine neue Version zu aktualisieren. Auf einem TLS-Client kann dies durch die Verbindung mit einem bösartigen Server ausgelöst werden. Auf einem TLS-Server kann dies ausgelöst werden, wenn der Server eine Client-Authentifizierung anfordert und ein böswilliger Client eine Verbindung herstellt. Die OpenSSL-Versionen 3.0.0 bis 3.0.6 sind anfällig für dieses Problem. Benutzer von OpenSSL 3.0 sollten auf OpenSSL 3.0.7 aktualisieren.
der festgestellten Probleme Folgendes wird erwähnt:
CVE-2022-3602– Ursprünglich als kritisch gemeldet, verursacht eine Schwachstelle einen 4-Byte-Pufferüberlauf bei der Überprüfung eines speziell gestalteten E-Mail-Adressfelds in einem X.509-Zertifikat. Auf einem TLS-Client kann die Schwachstelle ausgenutzt werden, indem eine Verbindung zu einem vom Angreifer kontrollierten Server hergestellt wird. Auf einem TLS-Server kann die Schwachstelle ausgenutzt werden, wenn die Client-Authentifizierung über Zertifikate verwendet wird. In diesem Fall manifestiert sich die Schwachstelle in der Phase nach der Überprüfung der mit dem Zertifikat verbundenen Vertrauenskette, dh der Angriff erfordert, dass die Zertifizierungsstelle das schädliche Zertifikat des Angreifers validiert.
CVE-2022-3786: Dies ist ein weiterer Vektor der Ausnutzung der Schwachstelle CVE-2022-3602, die während der Analyse des Problems identifiziert wurde. Die Unterschiede laufen auf die Möglichkeit hinaus, den Stack-Puffer um eine beliebige Anzahl von Bytes zum Überlaufen zu bringen. die das Zeichen „.“ enthalten. Das Problem kann verwendet werden, um eine App zum Absturz zu bringen.
Die Schwachstellen treten nur im OpenSSL 3.0.x-Zweig auf, Die OpenSSL-Versionen 1.1.1 sowie die von OpenSSL abgeleiteten LibreSSL- und BoringSSL-Bibliotheken sind von dem Problem nicht betroffen. Gleichzeitig wurde ein Update für OpenSSL 1.1.1s veröffentlicht, das nur nicht sicherheitsrelevante Fehlerbehebungen enthält.
Der OpenSSL 3.0-Zweig wird von Distributionen wie Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable verwendet. Benutzern dieser Systeme wird empfohlen, Updates so schnell wie möglich zu installieren (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
In SUSE Linux Enterprise 15 SP4 und openSUSE Leap 15.4 sind Pakete mit OpenSSL 3.0 optional verfügbar, Systempakete verwenden den 1.1.1-Zweig. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 und FreeBSD verbleiben in den OpenSSL 1.x-Zweigen.
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details in der überprüfen folgenden Link