Az OpenSSL egy SSLeay alapú ingyenes szoftverprojekt.
Információt adtak ki a korrekciós változatának kiadása a kriptokönyvtár OpenSSL 3.0.7, amely két sebezhetőséget javít kimint ami és miért jelent meg ez a javító verzió puffertúlcsordulás, amelyet az X.509 tanúsítványok érvényesítése során használnak ki.
Érdemes ezt megemlíteni mindkét problémát puffer túlcsordulás okozza a kódban az e-mail-cím mező érvényesítéséhez az X.509-tanúsítványokban, és kódfuttatást okozhat egy speciálisan kialakított tanúsítvány feldolgozása során.
A javítás kiadásakor az OpenSSL fejlesztői nem számoltak be olyan funkcionális kihasználásról, amely a támadó kódjának végrehajtásához vezethet.
Van olyan eset, amikor a szerverek kihasználhatók TLS-kliens hitelesítésen keresztül, amely megkerülheti a CA-aláírási követelményeket, mivel az ügyféltanúsítványokat általában nem kell aláírnia egy megbízható CA-nak. Mivel a kliens hitelesítés ritka, és a legtöbb szerveren nincs engedélyezve, a szerver kihasználása alacsony kockázattal jár.
A támadók kihasználhatja ezt a biztonsági rést, ha az ügyfelet egy rosszindulatú TLS-kiszolgálóra irányítja amely egy speciálisan kialakított tanúsítványt használ a sérülékenység kiváltására.
Bár az új kiadás kiadás előtti bejelentése egy kritikus problémát említett, valójában a kiadott frissítésben a sebezhetőség állapota Veszélyesre, de nem kritikusra csökkent.
A projektben elfogadott szabályok szerint a atipikus konfigurációk esetén a súlyossági szint csökken vagy egy sebezhetőség gyakorlati kihasználásának alacsony valószínűsége esetén. Ebben az esetben a súlyossági szintet csökkentették, mivel a sérülékenység kihasználását számos platformon blokkolják a veremtúlcsordulás elleni védelmi mechanizmusok.
A CVE-2022-3602 korábbi bejelentései ezt a problémát KRITIKUSNAK minősítették. A fent vázolt enyhítő tényezők némelyikén alapuló további elemzés a HIGH-ra való visszaminősítéshez vezetett.
A felhasználókat továbbra is arra biztatjuk, hogy a lehető leghamarabb frissítsenek egy új verzióra. TLS-klienseken ez egy rosszindulatú kiszolgálóhoz való csatlakozással váltható ki. TLS-kiszolgálón ez akkor váltható ki, ha a szerver ügyfélhitelesítést kér, és egy rosszindulatú ügyfél csatlakozik. Az OpenSSL 3.0.0-tól 3.0.6-ig terjedő verziói sebezhetők ezzel a problémával szemben. Az OpenSSL 3.0 felhasználóknak frissíteniük kell az OpenSSL 3.0.7-re.
azonosított problémák közül a következőket említik:
CVE-2022 3602-- Az eredetileg kritikusnak minősített biztonsági rés 4 bájtos puffertúlcsordulást okoz az X.509-tanúsítvány speciálisan kialakított e-mail-címmezőjének ellenőrzésekor. TLS kliensen a biztonsági rést a támadó által vezérelt szerverhez való csatlakozással lehet kihasználni.. A TLS-kiszolgálón a biztonsági rést akkor lehet kihasználni, ha a kliens tanúsítványokkal történő hitelesítését használják. Ebben az esetben a biztonsági rés a tanúsítvánnyal társított bizalmi lánc ellenőrzése utáni szakaszban jelentkezik, vagyis a támadás megköveteli a hitelesítésszolgáltatótól a támadó rosszindulatú tanúsítványának érvényesítését.
CVE-2022 3786-: Ez a probléma elemzése során azonosított CVE-2022-3602 sérülékenység kihasználásának egy másik vektora. A különbségek abból fakadnak, hogy a verempuffer tetszőleges számú bájttal túlcsordulhat. tartalmazza a "." karaktert. A probléma felhasználható egy alkalmazás összeomlásához.
A biztonsági rések csak az OpenSSL 3.0.x ágában jelennek meg, Az OpenSSL 1.1.1-es verzióit, valamint az OpenSSL-ből származó LibreSSL és BoringSSL könyvtárakat nem érinti a probléma. Ezzel egy időben megjelent az OpenSSL 1.1.1s frissítése is, amely csak nem biztonsági hibajavításokat tartalmaz.
Az OpenSSL 3.0 ágat olyan disztribúciók használják, mint az Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Ezen rendszerek felhasználóinak azt javasoljuk, hogy a lehető leghamarabb telepítsék a frissítéseket (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
A SUSE Linux Enterprise 15 SP4-ben és az openSUSE Leap 15.4-ben az OpenSSL 3.0 csomagok opcionálisan elérhetők, a rendszercsomagok pedig az 1.1.1-es ágat használják. A Debian 11, az Arch Linux, a Void Linux, az Ubuntu 20.04, a Slackware, az ALT Linux, az RHEL 8, az OpenWrt, az Alpine Linux 3.16 és a FreeBSD továbbra is az OpenSSL 1.x ágakban marad.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket a következő link.