OpenSSL on SSLeayl põhinev tasuta tarkvaraprojekt.
Selle kohta avaldati teave parandava versiooni väljaandmine krüptoraamatukogu OpenSSL 3.0.7, mis parandab kaks turvaaukumilline ja miks see korrigeeriv versioon välja anti X.509 sertifikaatide valideerimisel kasutatud puhvri ülevoolu.
Tasub seda mainida mõlemad probleemid on põhjustatud puhvri ülevoolust koodis, et kinnitada X.509 sertifikaatide e-posti aadressi välja ja see võib põhjustada koodi käivitamist spetsiaalselt koostatud sertifikaadi töötlemisel.
Paranduse avaldamise ajal ei olnud OpenSSL-i arendajad teatanud funktsionaalse ärakasutamise olemasolust, mis võiks viia ründaja koodi käivitamiseni.
On juhtumeid, kus servereid võidakse ära kasutada TLS-i kliendi autentimise kaudu, mis võib CA allkirjastamise nõuetest mööda minna, kuna üldiselt ei pea usaldusväärne CA kliendisertifikaate allkirjastama. Kuna kliendi autentimine on haruldane ja enamikus serverites pole see lubatud, peaks serveri ärakasutamine olema madala riskiga.
Ründajad võib seda haavatavust ära kasutada, suunates kliendi pahatahtlikule TLS-serverile mis kasutab haavatavuse käivitamiseks spetsiaalselt koostatud sertifikaati.
Kuigi uue versiooni väljalaskeeelses teadaandes mainiti kriitilist probleemi, alandati välja antud värskenduses haavatavuse staatus ohtlikuks, kuid mitte kriitiliseks.
Vastavalt projektis vastu võetud reeglitele, Ebatüüpilistes konfiguratsioonides esinevate probleemide korral vähendatakse raskusastet või juhul, kui haavatavuse praktikas ärakasutamise tõenäosus on väike. Antud juhul on raskusastet alandatud, kuna haavatavuse ärakasutamist takistavad paljudel platvormidel kasutatavad pinu ületäitumise kaitsemehhanismid.
Varasemates CVE-2022-3602 teadaannetes kirjeldati seda probleemi kui kriitilist. Täiendav analüüs, mis põhineb mõnel eespool kirjeldatud kergendaval teguril, on viinud selle alandamiseni HIGH-le.
Kasutajatel soovitatakse siiski võimalikult kiiresti uuele versioonile värskendada. TLS-kliendis saab selle käivitada pahatahtliku serveriga ühenduse loomisel. TLS-serveris saab selle käivitada, kui server taotleb kliendi autentimist ja pahatahtlik klient loob ühenduse. OpenSSL-i versioonid 3.0.0 kuni 3.0.6 on selle probleemi suhtes haavatavad. OpenSSL 3.0 kasutajad peaksid üle minema versioonile OpenSSL 3.0.7.
tuvastatud probleemidest mainitakse järgmist:
CVE-2022-3602- Esialgu kriitiliseks teatatud haavatavus põhjustab X.4 sertifikaadis spetsiaalselt koostatud meiliaadressi välja kontrollimisel 509-baidise puhvri ületäitumise. TLS-kliendi puhul saab haavatavust ära kasutada, luues ühenduse ründaja kontrollitava serveriga. TLS-serveris saab haavatavust ära kasutada, kui kasutatakse kliendi autentimist sertifikaatide abil. Sel juhul ilmneb haavatavus sertifikaadiga seotud usaldusahela kontrollimise järgses etapis, st rünnak nõuab sertifitseerimisasutuselt ründaja pahatahtliku sertifikaadi kinnitamist.
CVE-2022-3786: see on veel üks probleemi analüüsi käigus tuvastatud haavatavuse CVE-2022-3602 ärakasutamise vektor. Erinevused taanduvad võimalusele täita virnapuhver suvalise arvu baitide võrra. mis sisaldab märki "." Probleemi saab kasutada rakenduse kokkujooksmise põhjustamiseks.
Turvaaugud ilmuvad ainult OpenSSL 3.0.x harus, See probleem ei puuduta OpenSSL-i versioone 1.1.1, samuti OpenSSL-ist tuletatud LibreSSL-i ja BoringSSL-i teeke. Samal ajal anti välja OpenSSL 1.1.1s värskendus, mis sisaldas ainult mitteturvalisusega seotud veaparandusi.
OpenSSL 3.0 haru kasutavad sellised distributsioonid nagu Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Nende süsteemide kasutajatel on soovitatav installida värskendused niipea kui võimalik (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4 ja openSUSE Leap 15.4 puhul on OpenSSL 3.0 paketid saadaval lisavarustusena, süsteemipaketid kasutavad haru 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ja FreeBSD jäävad OpenSSL 1.x harudesse.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.