OpenSSL 3.0.7 מגיע כדי לתקן בעיית גלישת מאגר 

David Y. Naranjo

4 דקות

OpenSSL_logo

OpenSSL הוא פרויקט תוכנה חינמי המבוסס על SSLeay. 

פורסם מידע על שחרור גרסה מתקנת של ספריית הקריפטו OpenSSL 3.0.7, אשר מתקן שתי נקודות תורפהכמו מה ולמה הגרסה המתקנת הזו שוחררה על ידי הצפת מאגר מנוצל בעת אימות אישורי X.509.

ראוי להזכיר זאת שתי הבעיות נגרמות על ידי הצפת מאגר בקוד כדי לאמת את שדה כתובת הדוא"ל בתעודות X.509 ועלול לגרום לביצוע קוד בעת עיבוד אישור בעל מבנה מיוחד.

בזמן שחרור התיקון, מפתחי OpenSSL לא דיווחו על קיומו של ניצול פונקציונלי שעלול להוביל לביצוע הקוד של התוקף.

יש מקרה שבו ניתן לנצל את השרתים באמצעות אימות לקוח TLS, שיכול לעקוף את דרישות החתימה של CA, מכיוון שאישורי הלקוח בדרך כלל אינם נדרשים להיות חתומים על ידי CA מהימן. מכיוון שאימות לקוח הוא נדיר ולרוב השרתים זה לא מופעל, ניצול השרת אמור להיות בסיכון נמוך.

התוקפים עלול לנצל פגיעות זו על ידי הפניית הלקוח לשרת TLS זדוני שמשתמש בתעודה בעלת מבנה מיוחד כדי להפעיל את הפגיעות.

למרות שההודעה המוקדמת של המהדורה החדשה הזכירה בעיה קריטית, למעשה, בעדכון שפורסם, סטטוס הפגיעות שודרג לאחור ל-Dangerous, but not Critical.

על פי הכללים שאומצו בפרויקט, ה רמת החומרה יורדת במקרה של בעיה בתצורות לא טיפוסיות או במקרה של סבירות נמוכה לניצול פגיעות בפועל. במקרה זה, רמת החומרה ירדה, שכן ניצול הפגיעות נחסם על ידי מנגנוני ההגנה על הצפת מחסנית המשמשים בפלטפורמות רבות.

הודעות קודמות של CVE-2022-3602 תיארו בעיה זו כקריטית. ניתוח נוסף המבוסס על כמה מהגורמים המקלים שפורטו לעיל הוביל להורדת הדירוג ל-HIGH.

משתמשים עדיין מוזמנים לעדכן לגרסה חדשה בהקדם האפשרי. בלקוח TLS, זה יכול להיות מופעל על ידי התחברות לשרת זדוני. בשרת TLS, זה יכול להיות מופעל אם השרת מבקש אימות לקוח ולקוח זדוני מתחבר. גרסאות OpenSSL 3.0.0 עד 3.0.6 פגיעות לבעיה זו. משתמשי OpenSSL 3.0 צריכים לשדרג ל-OpenSSL 3.0.7.

מהבעיות שזוהו מוזכר הדברים הבאים:

CVE-2022-3602– בתחילה דווחה כקריטית, פגיעות גורמת להצפת מאגר של 4 בתים בעת אימות שדה כתובת דואר אלקטרוני בעל מבנה מיוחד באישור X.509. בלקוח TLS, ניתן לנצל את הפגיעות על ידי התחברות לשרת הנשלט על ידי התוקף. בשרת TLS, ניתן לנצל את הפגיעות אם נעשה שימוש באימות לקוח באמצעות אישורים. במקרה זה, הפגיעות מתבטאת בשלב שלאחר אימות שרשרת האמון הקשורה לתעודה, כלומר, ההתקפה מחייבת את רשות האישורים לאמת את האישור הזדוני של התוקף.

CVE-2022-3786: זהו וקטור נוסף של ניצול של הפגיעות CVE-2022-3602 שזוהתה במהלך ניתוח הבעיה. ההבדלים מסתכמים באפשרות של הצפת מאגר המחסנית במספר שרירותי של בתים. המכיל את התו ".". ניתן להשתמש בבעיה כדי לגרום לאפליקציה לקרוס.

הפגיעויות מופיעות רק בענף OpenSSL 3.0.x, גרסאות OpenSSL 1.1.1, כמו גם ספריות LibreSSL ו-BoringSSL הנגזרות מ-OpenSSL, אינן מושפעות מהבעיה. במקביל, שוחרר עדכון ל-OpenSSL 1.1.1s, המכיל רק תיקוני באגים שאינם אבטחה.

ענף OpenSSL 3.0 משמש הפצות כמו אובונטו 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Unstable. למשתמשים במערכות אלו מומלץ להתקין עדכונים בהקדם האפשרי (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).

ב-SUSE Linux Enterprise 15 SP4 וב-openSUSE Leap 15.4, חבילות עם OpenSSL 3.0 זמינות כאופציה, חבילות מערכת משתמשות בענף 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ו-FreeBSD נשארו בסניפי OpenSSL 1.x.

בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.