OpenSSL je besplatni softverski projekt temeljen na SSLeayu.
Objavljena je informacija o izdanje ispravne verzije kripto knjižnica OpenSSL 3.0.7, koji popravlja dvije ranjivostikao što je i zašto je ova ispravna verzija objavljena prekoračenjem međuspremnika iskorišteno prilikom provjere X.509 certifikata.
Vrijedno je to spomenuti oba su problema uzrokovana prekoračenjem međuspremnika u kodu za provjeru valjanosti polja adrese e-pošte u X.509 certifikatima i može uzrokovati izvršenje koda prilikom obrade posebno izrađenog certifikata.
U vrijeme izdavanja popravka, programeri OpenSSL-a nisu prijavili postojanje funkcionalnog iskorištavanja koje bi moglo dovesti do izvršenja koda napadača.
Postoji slučaj kada bi se poslužitelji mogli iskorištavati putem TLS provjere autentičnosti klijenta, koja može zaobići CA zahtjeve za potpisivanje, budući da klijentske certifikate općenito ne mora potpisati pouzdani CA. Budući da je provjera autentičnosti klijenta rijetka i većina poslužitelja je nema omogućenu, iskorištavanje poslužitelja trebalo bi biti niskog rizika.
Napadači mogao iskoristiti ovu ranjivost usmjeravanjem klijenta na zlonamjerni TLS poslužitelj koji koristi posebno izrađeni certifikat za pokretanje ranjivosti.
Iako je najava prije izdanja za novo izdanje spominjala kritični problem, zapravo je u objavljenom ažuriranju status ranjivosti smanjen na Opasno, ali ne i Kritično.
Prema pravilima usvojenim u projektu, razina ozbiljnosti se snižava u slučaju problema u atipičnim konfiguracijama ili u slučaju male vjerojatnosti iskorištavanja ranjivosti u praksi. U ovom slučaju, razina ozbiljnosti je snižena jer je iskorištavanje ranjivosti blokirano mehanizmima zaštite od preljeva stogova koji se koriste na mnogim platformama.
Prethodne najave CVE-2022-3602 opisale su ovaj problem kao KRITIČAN. Dodatna analiza temeljena na nekim od gore navedenih olakotnih čimbenika dovela je do toga da je ovo sniženo na VISOKO.
Korisnici se i dalje potiču da ažuriraju na novu verziju što je prije moguće. Na TLS klijentu to se može pokrenuti povezivanjem sa zlonamjernim poslužiteljem. Na TLS poslužitelju to se može pokrenuti ako poslužitelj zatraži provjeru autentičnosti klijenta i zlonamjerni klijent se poveže. OpenSSL verzije 3.0.0 do 3.0.6 ranjive su na ovaj problem. Korisnici OpenSSL 3.0 trebali bi nadograditi na OpenSSL 3.0.7.
identificiranih problema spominje se sljedeće:
CVE-2022-3602- U početku prijavljena kao kritična, ranjivost uzrokuje prekoračenje međuspremnika od 4 bajta prilikom provjere posebno izrađenog polja adrese e-pošte u X.509 certifikatu. Na TLS klijentu, ranjivost se može iskoristiti povezivanjem na poslužitelj koji kontrolira napadač. Na TLS poslužitelju, ranjivost se može iskoristiti ako se koristi provjera autentičnosti klijenta pomoću certifikata. U ovom slučaju, ranjivost se očituje u fazi nakon provjere lanca povjerenja povezanog s certifikatom, odnosno napad zahtijeva od certifikacijskog tijela da potvrdi zlonamjerni certifikat napadača.
CVE-2022-3786: To je još jedan vektor iskorištavanja ranjivosti CVE-2022-3602 identificirane tijekom analize problema. Razlike se svode na mogućnost prekoračenja međuspremnika steka za proizvoljan broj bajtova. koji sadrži znak "." Problem se može upotrijebiti za uzrok rušenja aplikacije.
Ranjivosti se pojavljuju samo u grani OpenSSL 3.0.x, Problem ne utječe na OpenSSL verzije 1.1.1, kao ni na LibreSSL i BoringSSL biblioteke izvedene iz OpenSSL-a. Istovremeno je objavljeno ažuriranje za OpenSSL 1.1.1s, koje sadrži samo popravke grešaka koje nisu povezane sa sigurnošću.
Ogranak OpenSSL 3.0 koriste distribucije kao što su Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Korisnicima ovih sustava preporučuje se da što prije instaliraju nadogradnje (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
U SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, paketi s OpenSSL 3.0 dostupni su kao opcija, sistemski paketi koriste granu 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 i FreeBSD ostaju u ograncima OpenSSL 1.x.
Konačno ako vas zanima više o tome, detalje možete provjeriti u sljedeći link.