OpenSSL ir bezmaksas programmatūras projekts, kura pamatā ir SSLeay.
Tika izplatīta informācija par gada koriģējošās versijas izlaišana kriptovalūtu bibliotēka OpenSSL 3.0.7, kas novērš divas ievainojamībaskas un kāpēc šī korektīvā versija tika izlaista bufera pārpilde, ko izmanto, apstiprinot X.509 sertifikātus.
Ir vērts to pieminēt abas problēmas izraisa bufera pārpilde kodā, lai apstiprinātu e-pasta adreses lauku X.509 sertifikātos, un tas var izraisīt koda izpildi, apstrādājot īpaši izstrādātu sertifikātu.
Labojuma izlaišanas laikā OpenSSL izstrādātāji nebija ziņojuši par funkcionālas izmantošanas esamību, kas varētu novest pie uzbrucēja koda izpildes.
Pastāv gadījums, ka serveri var tikt izmantoti izmantojot TLS klienta autentifikāciju, kas var apiet CA parakstīšanas prasības, jo klientu sertifikāti parasti nav jāparaksta uzticamai CA. Tā kā klienta autentifikācija ir reta un lielākajā daļā serveru tā nav iespējota, servera izmantošanai ir jābūt zemam riskam.
Uzbrucēji var izmantot šo ievainojamību, novirzot klientu uz ļaunprātīgu TLS serveri kas izmanto īpaši izstrādātu sertifikātu, lai aktivizētu ievainojamību.
Lai gan jaunā laidiena pirmsizlaides paziņojumā bija minēta kritiska problēma, faktiski izlaistajā atjauninājumā ievainojamības statuss tika pazemināts uz Bīstamu, bet ne kritisku.
Saskaņā ar projektā pieņemtajiem noteikumiem, smaguma pakāpe tiek pazemināta, ja rodas problēmas netipiskās konfigurācijās vai ja ir maza ievainojamības izmantošanas iespējamība praksē. Šajā gadījumā nopietnības līmenis ir pazemināts, jo ievainojamības izmantošanu bloķē daudzās platformās izmantotie steka pārpildes aizsardzības mehānismi.
Iepriekšējos CVE-2022-3602 paziņojumos šī problēma tika aprakstīta kā KRITISKI. Papildu analīze, kas balstīta uz dažiem iepriekš minētajiem mīkstinošiem faktoriem, ir novedusi pie tā, ka tā ir pazemināta līdz HIGH.
Lietotāji joprojām tiek aicināti atjaunināt uz jaunu versiju, cik drīz vien iespējams. TLS klientā to var aktivizēt, izveidojot savienojumu ar ļaunprātīgu serveri. TLS serverī to var aktivizēt, ja serveris pieprasa klienta autentifikāciju un izveido savienojumu ar ļaunprātīgu klientu. OpenSSL versijas no 3.0.0 līdz 3.0.6 ir neaizsargātas pret šo problēmu. OpenSSL 3.0 lietotājiem ir jāveic jaunināšana uz OpenSSL 3.0.7.
no konstatētajām problēmām ir minēts sekojošais:
CVE-2022-3602— Sākotnēji tika ziņots par kritisku, ievainojamība izraisa 4 baitu bufera pārpildīšanu, pārbaudot īpaši izstrādātu e-pasta adreses lauku X.509 sertifikātā. TLS klientā ievainojamību var izmantot, izveidojot savienojumu ar serveri, kuru kontrolē uzbrucējs. TLS serverī ievainojamību var izmantot, ja tiek izmantota klienta autentifikācija, izmantojot sertifikātus. Šajā gadījumā ievainojamība izpaužas stadijā pēc ar sertifikātu saistītās uzticamības ķēdes pārbaudes, tas ir, uzbrukumam sertifikācijas iestādei ir jāpārbauda uzbrucēja ļaunprātīgais sertifikāts.
CVE-2022-3786: Tas ir vēl viens problēmas analīzes laikā konstatētās ievainojamības CVE-2022-3602 izmantošanas vektors. Atšķirības ir saistītas ar iespēju pārpildīt steka buferi par patvaļīgu baitu skaitu. kas satur "." rakstzīmi. Problēmu var izmantot, lai izraisītu lietotnes avāriju.
Ievainojamības parādās tikai OpenSSL 3.0.x filiālē, Problēma neietekmē OpenSSL versijas 1.1.1, kā arī LibreSSL un BoringSSL bibliotēkas, kas iegūtas no OpenSSL. Tajā pašā laikā tika izlaists OpenSSL 1.1.1s atjauninājums, kas satur tikai ar drošību nesaistītus kļūdu labojumus.
OpenSSL 3.0 filiāli izmanto tādi izplatījumi kā Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Šo sistēmu lietotājiem ieteicams pēc iespējas ātrāk instalēt atjauninājumus (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
SUSE Linux Enterprise 15 SP4 un openSUSE Leap 15.4 pakotnes ar OpenSSL 3.0 ir pieejamas kā opcija, sistēmas pakotnes izmanto 1.1.1 atzaru. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 un FreeBSD paliek OpenSSL 1.x filiālēs.
Beidzot ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.