OpenSSL yra nemokama programinės įrangos projektas, pagrįstas SSLeay.
Paskelbta informacija apie korekcinės versijos išleidimas kriptovaliutų biblioteka OpenSSL 3.0.7, kuri ištaiso du pažeidžiamumuskaip ir kodėl ši korekcinė versija buvo išleista buferio perpildymas, naudojamas tikrinant X.509 sertifikatus.
Verta tai paminėti abi problemas sukelia buferio perpildymas kode, kad patvirtintų X.509 sertifikatų el. pašto adreso lauką ir gali sukelti kodo vykdymą apdorojant specialiai sukurtą sertifikatą.
Pataisymo išleidimo metu „OpenSSL“ kūrėjai nepranešė apie funkcinį išnaudojimą, dėl kurio gali būti vykdomas užpuoliko kodas.
Yra atvejų, kai serveriai gali būti išnaudojami per TLS kliento autentifikavimą, kuris gali apeiti CA pasirašymo reikalavimus, nes klientų sertifikatų paprastai nereikalauja pasirašyti patikimos CA. Kadangi kliento autentifikavimas yra retas ir daugumoje serverių jis neįjungtas, serverio išnaudojimo rizika turėtų būti nedidelė.
Užpuolikai gali išnaudoti šį pažeidžiamumą nukreipdamas klientą į kenkėjišką TLS serverį kuris naudoja specialiai sukurtą sertifikatą, kad suaktyvintų pažeidžiamumą.
Nors naujos laidos išankstiniame pranešime buvo paminėta kritinė problema, iš tikrųjų išleistame atnaujinime pažeidžiamumo būsena buvo sumažinta iki pavojingo, bet ne kritinio.
Pagal projekte priimtas taisykles, Netipinių konfigūracijų atveju sunkumo lygis sumažinamas arba esant mažai pažeidžiamumo išnaudojimo tikimybei. Šiuo atveju sunkumo lygis buvo sumažintas, nes pažeidžiamumo išnaudojimą blokuoja daugelyje platformų naudojami dėklo perpildymo apsaugos mechanizmai.
Ankstesniuose CVE-2022-3602 pranešimuose ši problema buvo aprašyta kaip KRITINĖ. Dėl papildomos analizės, pagrįstos kai kuriais pirmiau nurodytais švelninančiais veiksniais, reitingas buvo sumažintas iki HIGH.
Vartotojai vis tiek raginami kuo greičiau atnaujinti į naują versiją. TLS kliente tai gali būti suaktyvinta prisijungus prie kenkėjiško serverio. TLS serveryje tai gali būti suaktyvinta, jei serveris prašo kliento autentifikavimo ir prisijungia kenkėjiškas klientas. 3.0.0–3.0.6 OpenSSL versijos yra pažeidžiamos dėl šios problemos. OpenSSL 3.0 vartotojai turėtų atnaujinti į OpenSSL 3.0.7.
nustatytų problemų minima:
CVE-2022-3602– Iš pradžių pranešta kaip kritinė, pažeidžiamumas sukelia 4 baitų buferio perpildymą tikrinant specialiai sukurtą el. pašto adreso lauką X.509 sertifikate. TLS kliente pažeidžiamumu galima pasinaudoti prisijungus prie užpuoliko valdomo serverio. TLS serveryje pažeidžiamumas gali būti išnaudotas, jei naudojamas kliento autentifikavimas naudojant sertifikatus. Šiuo atveju pažeidžiamumas pasireiškia etape, kai patikrinama su sertifikatu susijusi pasitikėjimo grandinė, ty ataka reikalauja, kad sertifikavimo institucija patvirtintų užpuoliko kenkėjišką sertifikatą.
CVE-2022-3786: Tai dar vienas pažeidžiamumo CVE-2022-3602 išnaudojimo vektorius, nustatytas analizuojant problemą. Skirtumai susiveda į galimybę perpildyti kamino buferį savavališku skaičiumi baitų. kuriame yra simbolis "." Problema gali būti naudojama, kad programa sugestų.
Pažeidžiamumas atsiranda tik OpenSSL 3.0.x šakoje, „OpenSSL“ 1.1.1 versijos, taip pat „LibreSSL“ ir „BoringSSL“ bibliotekos, gautos iš „OpenSSL“, ši problema neturi įtakos. Tuo pačiu metu buvo išleistas OpenSSL 1.1.1s naujinimas, kuriame yra tik su sauga nesusijusių klaidų pataisymai.
„OpenSSL 3.0“ šaką naudoja tokie platinimai kaip „Ubuntu 22.04“, „CentOS Stream 9“, „RHEL 9“, „OpenMandriva 4.2“, „Gentoo“, „Fedora 36“, „Debian Testing/Unstable“. Šių sistemų naudotojams rekomenduojama kuo greičiau įdiegti naujinimus (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4 ir openSUSE Leap 15.4 paketai su OpenSSL 3.0 galimi kaip parinktis, sistemos paketai naudoja 1.1.1 šaką. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ir FreeBSD lieka OpenSSL 1.x šakose.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.