OpenSSL je bezplatný softvérový projekt založený na SSLeay.
Boli zverejnené informácie o vydanie opravnej verzie krypto knižnica OpenSSL 3.0.7, ktorý opravuje dve zraniteľnostiako a prečo bola vydaná táto opravná verzia pretečením vyrovnávacej pamäte využívaným pri overovaní certifikátov X.509.
Za zmienku stojí to oba problémy sú spôsobené pretečením vyrovnávacej pamäte v kóde na overenie poľa e-mailovej adresy v certifikátoch X.509 a môže spôsobiť spustenie kódu pri spracovaní špeciálne vytvoreného certifikátu.
V čase vydania opravy vývojári OpenSSL nehlásili existenciu funkčného zneužitia, ktoré by mohlo viesť k spusteniu kódu útočníka.
Existuje prípad, keď by mohli byť servery zneužité prostredníctvom autentifikácie klienta TLS, ktorá môže obísť požiadavky na podpis certifikačnej autority, pretože certifikáty klienta vo všeobecnosti nevyžaduje podpis dôveryhodnej certifikačnej autority. Keďže autentifikácia klienta je zriedkavá a väčšina serverov ju nemá povolenú, zneužitie servera by malo predstavovať nízke riziko.
Útočníci by mohol zneužiť túto zraniteľnosť nasmerovaním klienta na škodlivý server TLS ktorý používa špeciálne vytvorený certifikát na spustenie zraniteľnosti.
Aj keď sa v oznámení pred vydaním nového vydania spomínal kritický problém, vo vydanej aktualizácii bol stav zraniteľnosti znížený na Nebezpečné, ale nie na Kritické.
Podľa pravidiel prijatých v projekte, úroveň závažnosti je znížená v prípade problému v atypických konfiguráciách alebo v prípade nízkej pravdepodobnosti zneužitia zraniteľnosti v praxi. V tomto prípade bola úroveň závažnosti znížená, pretože zneužitie zraniteľnosti je blokované mechanizmami ochrany proti pretečeniu zásobníka, ktoré sa používajú na mnohých platformách.
Predchádzajúce oznámenia CVE-2022-3602 popisovali tento problém ako KRITICKÝ. Dodatočná analýza založená na niektorých zmierňujúcich faktoroch uvedených vyššie viedla k zníženiu hodnotenia na VYSOKÚ.
Používateľom sa stále odporúča, aby čo najskôr aktualizovali na novú verziu. Na klientovi TLS to možno spustiť pripojením k škodlivému serveru. Na serveri TLS sa to môže spustiť, ak server požaduje overenie klienta a pripojí sa škodlivý klient. Verzie OpenSSL 3.0.0 až 3.0.6 sú náchylné na tento problém. Používatelia OpenSSL 3.0 by mali prejsť na OpenSSL 3.0.7.
zistených problémov je uvedené nasledovné:
CVE-2022 3602,- Pôvodne hlásená ako kritická chyba zabezpečenia spôsobuje pretečenie 4-bajtovej vyrovnávacej pamäte pri overovaní špeciálne vytvoreného poľa e-mailovej adresy v certifikáte X.509. Na klientovi TLS možno túto zraniteľnosť zneužiť pripojením k serveru kontrolovanému útočníkom. Na serveri TLS možno túto zraniteľnosť zneužiť, ak sa použije overenie klienta pomocou certifikátov. Zraniteľnosť sa v tomto prípade prejaví v štádiu po overení reťazca dôveryhodnosti spojeného s certifikátom, to znamená, že útok vyžaduje od certifikačnej autority overenie škodlivého certifikátu útočníka.
CVE-2022 3786,: Ide o ďalší vektor zneužitia zraniteľnosti CVE-2022-3602 identifikovanej počas analýzy problému. Rozdiely sa zmenšujú na možnosť preplnenia zásobníka o ľubovoľný počet bajtov. obsahujúci znak ".". Problém môže spôsobiť zlyhanie aplikácie.
Zraniteľnosť sa objavuje iba vo vetve OpenSSL 3.0.x, Verzie OpenSSL 1.1.1, ako aj knižnice LibreSSL a BoringSSL odvodené od OpenSSL, nie sú týmto problémom ovplyvnené. Zároveň bola vydaná aktualizácia na OpenSSL 1.1.1s, ktorá obsahuje iba opravy chýb nesúvisiacich s bezpečnosťou.
Pobočku OpenSSL 3.0 používajú distribúcie ako Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Ustable. Používateľom týchto systémov sa odporúča čo najskôr nainštalovať aktualizácie (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
V SUSE Linux Enterprise 15 SP4 a openSUSE Leap 15.4 sú balíky s OpenSSL 3.0 dostupné ako voliteľné, systémové balíky využívajú vetvu 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 a FreeBSD zostávajú vo vetvách OpenSSL 1.x.
Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúci odkaz.