OpenSSL è un progetto software gratuito basato su SSLeay.
Sono state rilasciate informazioni sul rilascio di una versione correttiva di la libreria crittografica OpenSSL 3.0.7, che risolve due vulnerabilitàcome e perché questa versione correttiva è stata rilasciata dal buffer overflow sfruttato durante la convalida dei certificati X.509.
Vale la pena menzionarlo entrambi i problemi sono causati da un overflow del buffer nel codice per convalidare il campo dell'indirizzo e-mail nei certificati X.509 e potrebbe causare l'esecuzione di codice durante l'elaborazione di un certificato appositamente predisposto.
Al momento del rilascio della correzione, gli sviluppatori di OpenSSL non avevano segnalato l'esistenza di un exploit funzionale che potesse portare all'esecuzione del codice dell'attaccante.
C'è un caso in cui i server potrebbero essere sfruttati tramite l'autenticazione del client TLS, che può ignorare i requisiti di firma della CA, poiché i certificati client in genere non devono essere firmati da una CA attendibile. Poiché l'autenticazione del client è rara e la maggior parte dei server non l'ha abilitata, sfruttare il server dovrebbe essere a basso rischio.
Gli attaccanti potrebbe sfruttare questa vulnerabilità indirizzando il client a un server TLS dannoso che utilizza un certificato appositamente predisposto per attivare la vulnerabilità.
Sebbene l'annuncio di pre-release per la nuova versione menzionasse un problema critico, in effetti, nell'aggiornamento rilasciato, lo stato di vulnerabilità è stato declassato a Pericoloso, ma non Critico.
Secondo le regole adottate nel progetto, il il livello di gravità viene abbassato in caso di problema in configurazioni atipiche o in caso di bassa probabilità di sfruttare una vulnerabilità nella pratica. In questo caso, il livello di gravità è stato abbassato, poiché lo sfruttamento della vulnerabilità è bloccato dai meccanismi di protezione dall'overflow dello stack utilizzati su molte piattaforme.
I precedenti annunci di CVE-2022-3602 descrivevano questo problema come CRITICO. Un'ulteriore analisi basata su alcuni dei fattori attenuanti sopra delineati ha portato a tale declassamento a HIGH.
Gli utenti sono comunque incoraggiati ad aggiornare a una nuova versione il prima possibile. Su un client TLS, questo può essere attivato connettendosi a un server dannoso. Su un server TLS, questo può essere attivato se il server richiede l'autenticazione del client e un client dannoso si connette. Le versioni OpenSSL da 3.0.0 a 3.0.6 sono vulnerabili a questo problema. Gli utenti di OpenSSL 3.0 devono eseguire l'aggiornamento a OpenSSL 3.0.7.
dei problemi individuati si menziona quanto segue:
CVE-2022-3602– Inizialmente segnalata come critica, una vulnerabilità provoca un overflow del buffer di 4 byte durante la verifica di un campo dell'indirizzo e-mail appositamente predisposto in un certificato X.509. Su un client TLS, la vulnerabilità può essere sfruttata collegandosi a un server controllato dall'attaccante. Su un server TLS, la vulnerabilità può essere sfruttata se viene utilizzata l'autenticazione client tramite certificati. In questo caso, la vulnerabilità si manifesta nella fase successiva alla verifica della catena di fiducia associata al certificato, ovvero l'attacco richiede all'autorità di certificazione di convalidare il certificato dannoso dell'attaccante.
CVE-2022-3786: E' un altro vettore di sfruttamento della vulnerabilità CVE-2022-3602 individuata durante l'analisi del problema. Le differenze si riducono alla possibilità di overflow del buffer dello stack di un numero arbitrario di byte. contenente il carattere "." Il problema può essere utilizzato per causare l'arresto anomalo di un'app.
Le vulnerabilità compaiono solo nel ramo OpenSSL 3.0.x, Le versioni OpenSSL 1.1.1, così come le librerie LibreSSL e BoringSSL derivate da OpenSSL, non sono interessate dal problema. Allo stesso tempo, è stato rilasciato un aggiornamento a OpenSSL 1.1.1s, contenente solo correzioni di bug non di sicurezza.
Il ramo OpenSSL 3.0 è utilizzato da distribuzioni come Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Si consiglia agli utenti di questi sistemi di installare gli aggiornamenti il prima possibile (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
In SUSE Linux Enterprise 15 SP4 e openSUSE Leap 15.4, i pacchetti con OpenSSL 3.0 sono disponibili come opzione, i pacchetti di sistema utilizzano il ramo 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 e FreeBSD rimangono nei rami OpenSSL 1.x.
Infine se sei interessato a saperne di più, puoi controllare i dettagli nel file seguente link