OpenSSL est un projet de logiciel libre basé sur SSLeay.
Des informations ont été diffusées sur le publication d'une version corrective de la cryptothèque OpenSSL 3.0.7, qui corrige deux vulnérabilitéscomme quoi et pourquoi cette version corrective a été publiée est par débordement de buffer exploité lors de la validation des certificats X.509.
Il est important de mentionner que les deux problèmes sont causés par un débordement de tampon dans le code pour valider le champ d'adresse e-mail dans les certificats X.509 et pourrait entraîner l'exécution de code lors du traitement d'un certificat spécialement conçu.
Au moment de la publication du correctif, les développeurs d'OpenSSL n'avaient pas signalé l'existence d'un exploit fonctionnel pouvant conduire à l'exécution du code de l'attaquant.
Il y a un cas où les serveurs pourraient être exploités via l'authentification client TLS, qui peut contourner les exigences de signature de l'autorité de certification, car les certificats client ne doivent généralement pas être signés par une autorité de certification de confiance. Étant donné que l'authentification du client est rare et que la plupart des serveurs ne l'ont pas activée, l'exploitation du serveur devrait présenter un faible risque.
Les attaquants pourrait exploiter cette vulnérabilité en dirigeant le client vers un serveur TLS malveillant qui utilise un certificat spécialement conçu pour déclencher la vulnérabilité.
Bien que l'annonce de pré-version de la nouvelle version mentionne un problème critique, en fait, dans la mise à jour publiée, le statut de vulnérabilité a été rétrogradé à Dangereux, mais pas Critique.
Selon les règles adoptées dans le projet, la le niveau de gravité est abaissé en cas de problème dans des configurations atypiques ou en cas de faible probabilité d'exploitation d'une vulnérabilité dans la pratique. Dans ce cas, le niveau de gravité a été abaissé, car l'exploitation de la vulnérabilité est bloquée par les mécanismes de protection contre le débordement de pile utilisés sur de nombreuses plates-formes.
Les annonces précédentes de CVE-2022-3602 décrivaient ce problème comme CRITIQUE. Une analyse supplémentaire basée sur certains des facteurs atténuants décrits ci-dessus a conduit à la rétrogradation à ÉLEVÉ.
Les utilisateurs sont toujours encouragés à mettre à jour vers une nouvelle version dès que possible. Sur un client TLS, cela peut être déclenché en se connectant à un serveur malveillant. Sur un serveur TLS, cela peut être déclenché si le serveur demande l'authentification du client et qu'un client malveillant se connecte. Les versions 3.0.0 à 3.0.6 d'OpenSSL sont vulnérables à ce problème. Les utilisateurs d'OpenSSL 3.0 doivent passer à OpenSSL 3.0.7.
des problèmes identifiés il est mentionné ce qui suit :
CVE-2022-3602- Initialement signalée comme critique, une vulnérabilité provoque un dépassement de mémoire tampon de 4 octets lors de la vérification d'un champ d'adresse e-mail spécialement conçu dans un certificat X.509. Sur un client TLS, la vulnérabilité peut être exploitée en se connectant à un serveur contrôlé par l'attaquant. Sur un serveur TLS, la vulnérabilité peut être exploitée si l'authentification client à l'aide de certificats est utilisée. Dans ce cas, la vulnérabilité se manifeste dans l'étape suivant la vérification de la chaîne de confiance associée au certificat, c'est-à-dire que l'attaque nécessite que l'autorité de certification valide le certificat malveillant de l'attaquant.
CVE-2022-3786: C'est un autre vecteur d'exploitation de la vulnérabilité CVE-2022-3602 identifiée lors de l'analyse du problème. Les différences se résument à la possibilité de déborder le tampon de la pile d'un nombre arbitraire d'octets. contenant le caractère ".". Le problème peut être utilisé pour provoquer le blocage d'une application.
Les vulnérabilités n'apparaissent que dans la branche OpenSSL 3.0.x, Les versions 1.1.1 d'OpenSSL, ainsi que les bibliothèques LibreSSL et BoringSSL dérivées d'OpenSSL, ne sont pas affectées par le problème. Dans le même temps, une mise à jour d'OpenSSL 1.1.1s a été publiée, contenant uniquement des correctifs de bogues non liés à la sécurité.
La branche OpenSSL 3.0 est utilisée par des distributions comme Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Il est recommandé aux utilisateurs de ces systèmes d'installer les mises à jour dès que possible (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
Dans SUSE Linux Enterprise 15 SP4 et openSUSE Leap 15.4, les packages avec OpenSSL 3.0 sont disponibles en option, les packages système utilisent la branche 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 et FreeBSD restent dans les branches OpenSSL 1.x.
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant