OpenSSL er et gratis programvareprosjekt basert på SSLeay.
Det ble gitt ut informasjon om utgivelse av en korrigerende versjon av kryptobiblioteket OpenSSL 3.0.7, som fikser to sårbarhetersom og hvorfor denne korrigerende versjonen ble utgitt er ved bufferoverflyt utnyttet ved validering av X.509-sertifikater.
Det er verdt å nevne det begge problemene er forårsaket av bufferoverløp i kode for å validere e-postadressefeltet i X.509-sertifikater og kan forårsake kodekjøring ved behandling av et spesiallaget sertifikat.
På tidspunktet for utgivelsen av rettelsen hadde ikke OpenSSL-utviklerne rapportert om eksistensen av en funksjonell utnyttelse som kunne føre til utføring av angriperens kode.
Det er et tilfelle der serverne kan bli utnyttet via TLS-klientautentisering, som kan omgå CA-signeringskrav, siden klientsertifikater vanligvis ikke kreves signert av en klarert CA. Siden klientautentisering er sjelden og de fleste servere ikke har den aktivert, bør det være lav risiko å utnytte serveren.
Angriperne kunne utnytte dette sikkerhetsproblemet ved å dirigere klienten til en ondsinnet TLS-server som bruker et spesiallaget sertifikat for å utløse sårbarheten.
Selv om pre-release-kunngjøringen for den nye utgivelsen nevnte et kritisk problem, ble sårbarhetsstatusen faktisk nedgradert til Dangerous, but not Critical i den utgitte oppdateringen.
I henhold til reglene som er vedtatt i prosjektet alvorlighetsgraden senkes i tilfelle et problem i atypiske konfigurasjoner eller ved lav sannsynlighet for å utnytte en sårbarhet i praksis. I dette tilfellet har alvorlighetsgraden blitt senket, ettersom utnyttelse av sårbarheten blokkeres av stabeloverløpsbeskyttelsesmekanismene som brukes på mange plattformer.
Tidligere kunngjøringer av CVE-2022-3602 beskrev dette problemet som KRITIKK. Ytterligere analyse basert på noen av de avbøtende faktorene som er skissert ovenfor, har ført til at denne er nedgradert til HØY.
Brukere oppfordres fortsatt til å oppdatere til en ny versjon så snart som mulig. På en TLS-klient kan dette utløses ved å koble til en ondsinnet server. På en TLS-server kan dette utløses hvis serveren ber om klientautentisering og en ondsinnet klient kobler til. OpenSSL versjoner 3.0.0 til og med 3.0.6 er sårbare for dette problemet. OpenSSL 3.0-brukere bør oppgradere til OpenSSL 3.0.7.
av problemene som er identifisert følgende er nevnt:
CVE-2022-3602– Opprinnelig rapportert som kritisk, forårsaker en sårbarhet en 4-byte bufferoverflyt når du bekrefter et spesiallaget e-postadressefelt i et X.509-sertifikat. På en TLS-klient kan sårbarheten utnyttes ved å koble til en server kontrollert av angriperen. På en TLS-server kan sårbarheten utnyttes hvis klientautentisering ved hjelp av sertifikater brukes. I dette tilfellet manifesterer sårbarheten seg i stadiet etter verifiseringen av tillitskjeden knyttet til sertifikatet, det vil si at angrepet krever at sertifiseringsmyndigheten validerer angriperens ondsinnede sertifikat.
CVE-2022-3786: Det er en annen vektor for utnyttelse av sårbarheten CVE-2022-3602 identifisert under analysen av problemet. Forskjellene koker ned til muligheten for å overfylle stabelbufferen med et vilkårlig antall byte. som inneholder tegnet "." Problemet kan brukes til å få en app til å krasje.
Sårbarhetene vises bare i OpenSSL 3.0.x-grenen, OpenSSL-versjoner 1.1.1, samt LibreSSL- og BoringSSL-bibliotekene avledet fra OpenSSL, påvirkes ikke av problemet. Samtidig ble det gitt ut en oppdatering til OpenSSL 1.1.1s, som kun inneholder feilrettinger som ikke er sikkerhetsmessige.
OpenSSL 3.0-grenen brukes av distribusjoner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Brukere av disse systemene anbefales å installere oppdateringer så snart som mulig (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 er pakker med OpenSSL 3.0 tilgjengelig som et alternativ, systempakker bruker 1.1.1-grenen. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 og FreeBSD forblir i OpenSSL 1.x-grenene.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.