OpenSSL is een gratis softwareproject op basis van SSLeay.
Er is informatie vrijgegeven over de release van een corrigerende versie van de cryptobibliotheek OpenSSL 3.0.7, dat twee kwetsbaarheden verhelptals welke en waarom deze corrigerende versie is uitgebracht is door bufferoverloop misbruikt bij het valideren van X.509-certificaten.
Dat is het vermelden waard beide problemen worden veroorzaakt door een buffer overflow in de code om het e-mailadresveld in X.509-certificaten te valideren en kan code-uitvoering veroorzaken bij het verwerken van een speciaal vervaardigd certificaat.
Op het moment van de release van de fix hadden de OpenSSL-ontwikkelaars niet gemeld dat er een functionele exploit bestond die zou kunnen leiden tot het uitvoeren van de code van de aanvaller.
Er is een geval waarin de servers kunnen worden misbruikt via TLS-clientverificatie, waarmee de CA-ondertekeningsvereisten kunnen worden omzeild, aangezien clientcertificaten over het algemeen niet hoeven te worden ondertekend door een vertrouwde CA. Aangezien clientauthenticatie zeldzaam is en de meeste servers dit niet hebben ingeschakeld, zou het misbruiken van de server een laag risico moeten zijn.
de aanvallers kan misbruik maken van dit beveiligingslek door de client naar een schadelijke TLS-server te leiden die een speciaal vervaardigd certificaat gebruikt om het beveiligingslek te activeren.
Hoewel de pre-releaseaankondiging voor de nieuwe release een kritiek probleem vermeldde, werd in de vrijgegeven update de kwetsbaarheidsstatus gedegradeerd naar Gevaarlijk, maar niet Kritiek.
Volgens de regels die in het project zijn aangenomen, ernstniveau wordt verlaagd in geval van een probleem in atypische configuraties of in het geval van een kleine kans om een kwetsbaarheid in de praktijk uit te buiten. In dit geval is het ernstniveau verlaagd, omdat misbruik van de kwetsbaarheid wordt geblokkeerd door de stack-overflow-beveiligingsmechanismen die op veel platforms worden gebruikt.
Eerdere aankondigingen van CVE-2022-3602 beschreven dit probleem als KRITIEK. Aanvullende analyse op basis van enkele van de hierboven geschetste verzachtende factoren heeft ertoe geleid dat deze is gedegradeerd tot HOOG.
Gebruikers worden nog steeds aangemoedigd om zo snel mogelijk naar een nieuwe versie te updaten. Op een TLS-client kan dit worden geactiveerd door verbinding te maken met een kwaadwillende server. Op een TLS-server kan dit worden geactiveerd als de server clientverificatie aanvraagt en een kwaadwillende client verbinding maakt. OpenSSL-versies 3.0.0 tot en met 3.0.6 zijn kwetsbaar voor dit probleem. Gebruikers van OpenSSL 3.0 moeten upgraden naar OpenSSL 3.0.7.
van de geïdentificeerde problemen het volgende wordt genoemd:
CVE-2022-3602- In eerste instantie gemeld als kritiek, veroorzaakt een kwetsbaarheid een bufferoverloop van 4 bytes bij het verifiëren van een speciaal vervaardigd e-mailadresveld in een X.509-certificaat. Op een TLS-client kan het beveiligingslek worden misbruikt door verbinding te maken met een server die wordt beheerd door de aanvaller. Op een TLS-server kan het beveiligingslek worden misbruikt als clientverificatie met behulp van certificaten wordt gebruikt. In dit geval manifesteert het beveiligingslek zich in de fase na de verificatie van de vertrouwensketen die aan het certificaat is gekoppeld, dat wil zeggen, de aanval vereist dat de certificeringsinstantie het schadelijke certificaat van de aanvaller valideert.
CVE-2022-3786: Het is een andere vector van exploitatie van de kwetsbaarheid CVE-2022-3602 die is geïdentificeerd tijdens de analyse van het probleem. De verschillen komen neer op de mogelijkheid om de stapelbuffer met een willekeurig aantal bytes te laten overlopen. met het teken ".". Het probleem kan worden gebruikt om een app te laten crashen.
De kwetsbaarheden verschijnen alleen in de OpenSSL 3.0.x-tak, OpenSSL-versies 1.1.1, evenals de LibreSSL- en BoringSSL-bibliotheken die zijn afgeleid van OpenSSL, hebben geen last van het probleem. Tegelijkertijd werd er een update voor OpenSSL 1.1.1s uitgebracht, die alleen niet-beveiligingsbugs bevat.
De OpenSSL 3.0 branch wordt gebruikt door distributies zoals Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Gebruikers van deze systemen wordt aangeraden updates zo snel mogelijk te installeren (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 zijn pakketten met OpenSSL 3.0 als optie beschikbaar, systeempakketten gebruiken de tak 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 en FreeBSD blijven in de OpenSSL 1.x-takken.
Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.