OpenSSL to projekt wolnego oprogramowania oparty na SSLeay.
Ujawniono informację o wydanie korekcyjnej wersji biblioteka kryptowalut OpenSSL 3.0.7, który naprawia dwie lukijaka i dlaczego została wydana ta wersja korygująca przez przepełnienie bufora wykorzystywane podczas walidacji certyfikatów X.509.
Warto zaznaczyć, że oba problemy są spowodowane przepełnieniem bufora w kodzie, aby zweryfikować pole adresu e-mail w certyfikatach X.509 i może spowodować wykonanie kodu podczas przetwarzania specjalnie spreparowanego certyfikatu.
W momencie publikacji poprawki twórcy OpenSSL nie zgłosili istnienia funkcjonalnego exploita, który mógłby doprowadzić do wykonania kodu atakującego.
Istnieje przypadek, w którym serwery mogą zostać wykorzystane poprzez uwierzytelnianie klienta TLS, które może ominąć wymagania dotyczące podpisywania CA, ponieważ certyfikaty klienta zazwyczaj nie muszą być podpisywane przez zaufany urząd certyfikacji. Ponieważ uwierzytelnianie klienta jest rzadkie, a większość serwerów nie ma go włączonej, wykorzystanie serwera powinno być obarczone niskim ryzykiem.
Atakujący może wykorzystać tę lukę, kierując klienta do złośliwego serwera TLS który wykorzystuje specjalnie spreparowany certyfikat do wyzwalania luki.
Chociaż w ogłoszeniu przedpremierowym nowej wersji wspomniano o krytycznym problemie, w rzeczywistości w wydanej aktualizacji stan luki został obniżony do niebezpiecznego, ale nie krytycznego.
Zgodnie z przyjętymi w projekcie zasadami, poziom istotności jest obniżany w przypadku wystąpienia problemu w nietypowych konfiguracjach lub w przypadku niskiego prawdopodobieństwa wykorzystania luki w praktyce. W tym przypadku poziom istotności został obniżony, ponieważ wykorzystanie luki jest blokowane przez mechanizmy ochrony przed przepełnieniem stosu stosowane na wielu platformach.
Poprzednie komunikaty CVE-2022-3602 opisywały ten problem jako KRYTYCZNY. Dodatkowa analiza oparta na niektórych wymienionych powyżej czynnikach łagodzących doprowadziła do obniżenia tego ratingu do WYSOKIEGO.
Zachęcamy użytkowników do jak najszybszej aktualizacji do nowej wersji. Na kliencie TLS można to wywołać, łącząc się ze złośliwym serwerem. Na serwerze TLS może to zostać wywołane, jeśli serwer zażąda uwierzytelnienia klienta i nawiąże połączenie złośliwy klient. OpenSSL w wersjach 3.0.0 do 3.0.6 jest podatny na ten problem. Użytkownicy OpenSSL 3.0 powinni dokonać aktualizacji do OpenSSL 3.0.7.
zidentyfikowanych problemów wymieniono następujące:
CVE-2022-3602— Luka początkowo zgłaszana jako krytyczna powoduje przepełnienie bufora o 4 bajty podczas weryfikacji specjalnie spreparowanego pola adresu e-mail w certyfikacie X.509. Na kliencie TLS lukę można wykorzystać, łącząc się z serwerem kontrolowanym przez atakującego. Na serwerze TLS luka może zostać wykorzystana, jeśli używane jest uwierzytelnianie klienta przy użyciu certyfikatów. W takim przypadku podatność ujawnia się na etapie po weryfikacji łańcucha zaufania związanego z certyfikatem, czyli atak wymaga, aby urząd certyfikacji zweryfikował złośliwy certyfikat atakującego.
CVE-2022-3786: To kolejny wektor wykorzystania luki CVE-2022-3602 zidentyfikowanej podczas analizy problemu. Różnice sprowadzają się do możliwości przepełnienia bufora stosu o dowolną liczbę bajtów. zawierające znak „.”. Problem może spowodować awarię aplikacji.
Luki pojawiają się tylko w gałęzi OpenSSL 3.0.x, OpenSSL w wersji 1.1.1, a także biblioteki LibreSSL i BoringSSL wywodzące się z OpenSSL, nie są dotknięte problemem. W tym samym czasie została wydana aktualizacja OpenSSL 1.1.1s, zawierająca jedynie poprawki błędów niezwiązanych z bezpieczeństwem.
Gałąź OpenSSL 3.0 jest używana przez dystrybucje takie jak Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Użytkownikom tych systemów zaleca się jak najszybsze instalowanie aktualizacji (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
W SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4 pakiety z OpenSSL 3.0 są dostępne jako opcja, pakiety systemowe korzystają z gałęzi 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 i FreeBSD pozostają w gałęziach OpenSSL 1.x.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.