OpenSSL je projekt brezplačne programske opreme, ki temelji na SSLeay.
Objavljene so bile informacije o izdaja popravne različice kripto knjižnica OpenSSL 3.0.7, ki odpravlja dve ranljivostikatera in zakaj je bila izdana ta popravljalna različica s prekoračitvijo medpomnilnika, izkoriščeno pri potrjevanju potrdil X.509.
Omeniti velja to obe težavi povzroči prekoračitev medpomnilnika v kodi za potrditev polja e-poštnega naslova v potrdilih X.509 in lahko povzroči izvajanje kode pri obdelavi posebej oblikovanega potrdila.
V času izdaje popravka razvijalci OpenSSL niso poročali o obstoju funkcionalnega izkoriščanja, ki bi lahko vodilo do izvedbe napadalčeve kode.
Obstaja primer, ko bi lahko bili strežniki izkoriščeni prek preverjanja pristnosti odjemalca TLS, ki lahko obide zahteve za podpisovanje CA, saj potrdil odjemalca na splošno ni treba podpisati s strani zaupanja vrednega CA. Ker je preverjanje pristnosti odjemalca redko in ga večina strežnikov nima omogočenega, bi moralo biti izkoriščanje strežnika majhno tveganje.
Napadalci lahko izkoristi to ranljivost tako, da odjemalca usmeri na zlonamerni strežnik TLS ki uporablja posebej oblikovano potrdilo za sprožitev ranljivosti.
Čeprav je napoved pred izdajo za novo izdajo omenila kritično težavo, je bil status ranljivosti v izdani posodobitvi dejansko znižan na Nevarno, ne pa Kritično.
V skladu s pravili, sprejetimi v projektu, je stopnja resnosti se zniža v primeru težave v netipičnih konfiguracijah ali v primeru majhne verjetnosti izkoriščanja ranljivosti v praksi. V tem primeru je bila stopnja resnosti znižana, saj izkoriščanje ranljivosti blokirajo mehanizmi za zaščito pred prelivanjem skladov, ki se uporabljajo na številnih platformah.
Prejšnje objave CVE-2022-3602 so to težavo opisale kot KRITIČNO. Dodatna analiza, ki temelji na nekaterih olajševalnih dejavnikih, opisanih zgoraj, je privedla do tega, da je bila ocena znižana na VISOKO.
Uporabnike še vedno spodbujamo, da čim prej posodobijo na novo različico. Na odjemalcu TLS lahko to sproži povezava z zlonamernim strežnikom. Na strežniku TLS se to lahko sproži, če strežnik zahteva avtentikacijo odjemalca in se zlonamerni odjemalec poveže. OpenSSL različice od 3.0.0 do 3.0.6 so ranljive za to težavo. Uporabniki OpenSSL 3.0 bi morali nadgraditi na OpenSSL 3.0.7.
ugotovljenih težav omenjeno je naslednje:
CVE-2022-3602- Ranljivost, ki je bila sprva prijavljena kot kritična, povzroči prekoračitev 4-bajtnega medpomnilnika pri preverjanju posebej oblikovanega polja e-poštnega naslova v potrdilu X.509. Na odjemalcu TLS lahko ranljivost izkoristite tako, da se povežete s strežnikom, ki ga nadzoruje napadalec. Na strežniku TLS je ranljivost mogoče izkoristiti, če se uporablja preverjanje pristnosti odjemalca s potrdili. V tem primeru se ranljivost pokaže v fazi po preverjanju verige zaupanja, povezane s potrdilom, to pomeni, da napad zahteva, da overitelj potrdi zlonamerno potrdilo napadalca.
CVE-2022-3786: Je še en vektor izkoriščanja ranljivosti CVE-2022-3602, ugotovljene med analizo problema. Razlike se zmanjšajo na možnost prepolnitve medpomnilnika sklada za poljubno število bajtov. ki vsebuje znak "." Težavo je mogoče uporabiti za povzročitev zrušitve aplikacije.
Ranljivosti se pojavljajo le v veji OpenSSL 3.0.x, Težava ne vpliva na OpenSSL različice 1.1.1, pa tudi na knjižnici LibreSSL in BoringSSL, ki izhajata iz OpenSSL. Istočasno je bila izdana posodobitev za OpenSSL 1.1.1s, ki vsebuje samo popravke napak, ki niso povezane z varnostjo.
Vejo OpenSSL 3.0 uporabljajo distribucije, kot so Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Uporabnikom teh sistemov priporočamo čimprejšnjo namestitev posodobitev (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
V SUSE Linux Enterprise 15 SP4 in openSUSE Leap 15.4 so paketi z OpenSSL 3.0 na voljo kot možnost, sistemski paketi uporabljajo vejo 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 in FreeBSD ostajajo v vejah OpenSSL 1.x.
Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.