OpenSSL është një projekt softuer falas i bazuar në SSLeay.
Informacioni u publikua në lidhje me lëshimi i një versioni korrigjues të biblioteka e kriptove OpenSSL 3.0.7, i cili rregullon dy dobësisi dhe pse është lëshuar ky version korrigjues nga tejmbushja e buferit e shfrytëzuar gjatë vërtetimit të certifikatave X.509.
Vlen të përmendet se të dy problemet shkaktohen nga një tejmbushje buferi në kodin për të vërtetuar fushën e adresës së emailit në certifikatat X.509 dhe mund të shkaktojë ekzekutimin e kodit kur përpunohet një certifikatë e krijuar posaçërisht.
Në kohën e lëshimit të rregullimit, zhvilluesit e OpenSSL nuk kishin raportuar ekzistencën e një shfrytëzimi funksional që mund të çonte në ekzekutimin e kodit të sulmuesit.
Ekziston një rast kur serverët mund të shfrytëzohen nëpërmjet vërtetimit të klientit TLS, i cili mund të anashkalojë kërkesat e nënshkrimit të CA, pasi certifikatat e klientit në përgjithësi nuk kërkohet të nënshkruhen nga një CA e besuar. Meqenëse vërtetimi i klientit është i rrallë dhe shumica e serverëve nuk e kanë të aktivizuar, shfrytëzimi i serverit duhet të jetë me rrezik të ulët.
Sulmuesit mund ta shfrytëzojë këtë dobësi duke e drejtuar klientin te një server TLS me qëllim të keq e cila përdor një certifikatë të krijuar posaçërisht për të shkaktuar cenueshmërinë.
Megjithëse njoftimi i para-publikimit për lëshimin e ri përmendi një çështje kritike, në fakt, në përditësimin e lëshuar, statusi i cenueshmërisë u ul në "Rrezikshëm", por jo Kritik.
Sipas rregullave të miratuara në projekt, niveli i ashpërsisë ulet në rast të një problemi në konfigurime atipike ose në rast të një probabiliteti të ulët për të shfrytëzuar një cenueshmëri në praktikë. Në këtë rast, niveli i ashpërsisë është ulur, pasi shfrytëzimi i cenueshmërisë është bllokuar nga mekanizmat e mbrojtjes nga tejmbushja e pirgut të përdorur në shumë platforma.
Njoftimet e mëparshme të CVE-2022-3602 e përshkruan këtë çështje si KRITIKE. Analiza shtesë e bazuar në disa nga faktorët lehtësues të përshkruar më sipër ka bërë që kjo të ulet në LARTË.
Përdoruesit ende inkurajohen të përditësojnë në një version të ri sa më shpejt të jetë e mundur. Në një klient TLS, kjo mund të shkaktohet duke u lidhur me një server me qëllim të keq. Në një server TLS, kjo mund të aktivizohet nëse serveri kërkon vërtetimin e klientit dhe lidhet një klient me qëllim të keq. Versionet OpenSSL 3.0.0 deri në 3.0.6 janë të cenueshme ndaj këtij problemi. Përdoruesit e OpenSSL 3.0 duhet të përmirësojnë në OpenSSL 3.0.7.
të problemeve të evidentuara përmendet si më poshtë:
CVE-2022-3602- Fillimisht u raportua si kritike, një cenueshmëri shkakton një tejmbushje buferi prej 4 bajtësh kur verifikon një fushë adrese emaili të krijuar posaçërisht në një certifikatë X.509. Në një klient TLS, dobësia mund të shfrytëzohet duke u lidhur me një server të kontrolluar nga sulmuesi. Në një server TLS, dobësia mund të shfrytëzohet nëse përdoret vërtetimi i klientit duke përdorur certifikata. Në këtë rast, dobësia shfaqet në fazën pas verifikimit të zinxhirit të besimit të lidhur me certifikatën, domethënë sulmi kërkon që autoriteti certifikues të vërtetojë certifikatën me qëllim të keq të sulmuesit.
CVE-2022-3786: Është një tjetër vektor i shfrytëzimit të cenueshmërisë CVE-2022-3602 të identifikuar gjatë analizës së problemit. Dallimet zbresin në mundësinë e tejmbushjes së tamponit të stivit me një numër arbitrar bajtësh. që përmban karakterin ".". Problemi mund të përdoret për të shkaktuar rrëzimin e një aplikacioni.
Dobësitë shfaqen vetëm në degën OpenSSL 3.0.x, Versionet OpenSSL 1.1.1, si dhe bibliotekat LibreSSL dhe BoringSSL që rrjedhin nga OpenSSL, nuk preken nga problemi. Në të njëjtën kohë, u lëshua një përditësim për OpenSSL 1.1.1s, i cili përmbante vetëm rregullime të gabimeve jo të sigurisë.
Dega OpenSSL 3.0 përdoret nga shpërndarje si Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Përdoruesve të këtyre sistemeve rekomandohet të instalojnë përditësime sa më shpejt të jetë e mundur (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
Në SUSE Linux Enterprise 15 SP4 dhe openSUSE Leap 15.4, paketat me OpenSSL 3.0 janë të disponueshme si opsion, paketat e sistemit përdorin degën 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 dhe FreeBSD mbeten në degët OpenSSL 1.x.
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.