OpenSSL on ilmainen ohjelmistoprojekti, joka perustuu SSLeayhin.
Asiasta julkaistiin tietoa korjaavan version julkaiseminen kryptokirjasto OpenSSL 3.0.7, joka korjaa kaksi haavoittuvuuttamikä ja miksi tämä korjaava versio julkaistiin puskurin ylivuoto, jota hyödynnetään X.509-varmenteita vahvistettaessa.
On syytä mainita se molemmat ongelmat johtuvat puskurin ylivuodosta koodissa vahvistaaksesi sähköpostiosoitekentän X.509-varmenteissa ja saattaa aiheuttaa koodin suorittamisen, kun käsitellään erityisesti muotoiltua varmennetta.
Korjauksen julkaisuhetkellä OpenSSL-kehittäjät eivät olleet ilmoittaneet toiminnallisen hyväksikäytön olemassaolosta, joka voisi johtaa hyökkääjän koodin suorittamiseen.
On tapaus, jossa palvelimia voidaan hyödyntää TLS-asiakastodennuksen kautta, joka voi ohittaa CA-allekirjoitusvaatimukset, koska asiakasvarmenteita ei yleensä vaadita luotettavan CA:n allekirjoittamaan. Koska asiakkaan todennus on harvinainen ja useimmilla palvelimilla sitä ei ole käytössä, palvelimen hyödyntämisen riskin pitäisi olla pieni.
Hyökkääjät voi hyödyntää tätä haavoittuvuutta ohjaamalla asiakkaan haitalliselle TLS-palvelimelle joka käyttää erityisesti muodostettua varmennetta haavoittuvuuden laukaisemiseen.
Vaikka uuden julkaisun ennakkojulkaisussa mainittiin kriittinen ongelma, itse asiassa julkaistussa päivityksessä haavoittuvuuden tila alennettiin vaaralliseksi, mutta ei kriittiseksi.
Hankkeessa hyväksyttyjen sääntöjen mukaan vakavuustasoa alennetaan, jos epätyypillisissä kokoonpanoissa ilmenee ongelmia tai jos haavoittuvuuden hyödyntämisen todennäköisyys käytännössä on pieni. Tässä tapauksessa vakavuustasoa on alennettu, koska monilla alustoilla käytetyt pinon ylivuotosuojamekanismit estävät haavoittuvuuden hyödyntämisen.
Aiemmissa CVE-2022-3602:n ilmoituksissa tämä ongelma kuvattiin KRIITTINEN. Lisäanalyysi, joka perustuu joihinkin edellä kuvattuihin lieventäviin tekijöihin, on johtanut siihen, että tämä on laskettu arvoon HIGH.
Käyttäjiä kehotetaan silti päivittämään uuteen versioon mahdollisimman pian. TLS-asiakkaassa tämä voidaan laukaista muodostamalla yhteys haitalliseen palvelimeen. TLS-palvelimella tämä voidaan laukaista, jos palvelin pyytää asiakkaan todennusta ja haitallinen asiakas muodostaa yhteyden. OpenSSL-versiot 3.0.0–3.0.6 ovat haavoittuvia tälle ongelmalle. OpenSSL 3.0 -käyttäjien tulee päivittää versioon OpenSSL 3.0.7.
havaituista ongelmista mainitaan seuraava:
CVE-2022-3602– Alun perin kriittiseksi raportoitu haavoittuvuus aiheuttaa 4-tavuisen puskurin ylivuodon, kun X.509-varmenteen erityisesti muotoiltu sähköpostiosoitekenttä vahvistetaan. TLS-asiakkaassa haavoittuvuutta voidaan hyödyntää muodostamalla yhteys hyökkääjän hallitsemaan palvelimeen.. TLS-palvelimella haavoittuvuutta voidaan hyödyntää, jos asiakastodennusta käytetään sertifikaattien avulla. Tässä tapauksessa haavoittuvuus ilmenee varmenteeseen liittyvän luottamusketjun varmentamisen jälkeisessä vaiheessa, eli hyökkäys vaatii varmenneviranomaista vahvistamaan hyökkääjän haitallisen varmenteen.
CVE-2022-3786: Se on toinen ongelman analyysin aikana tunnistetun haavoittuvuuden CVE-2022-3602 hyödyntämisen vektori. Erot tiivistyvät mahdollisuuteen täyttää pinopuskuri mielivaltaisella tavumäärällä. sisältää "."-merkin. Ongelmaa voidaan käyttää aiheuttamaan sovelluksen kaatumisen.
Haavoittuvuudet näkyvät vain OpenSSL 3.0.x -haarassa, Ongelma ei koske OpenSSL-versioita 1.1.1 eikä OpenSSL:stä johdettuja LibreSSL- ja BoringSSL-kirjastoja. Samaan aikaan julkaistiin OpenSSL 1.1.1s -päivitys, joka sisälsi vain ei-tietoturvavirheenkorjauksia.
OpenSSL 3.0 -haaraa käyttävät jakelut, kuten Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​​​Debian Testing/Unstable. Näiden järjestelmien käyttäjiä suositellaan asentamaan päivitykset mahdollisimman pian (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4:ssä ja openSUSE Leap 15.4:ssä OpenSSL 3.0 -paketit ovat saatavana lisävarusteena, järjestelmäpaketit käyttävät 1.1.1-haaraa. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ja FreeBSD pysyvät OpenSSL 1.x -haaroissa.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.