Ang OpenSSL ay isang libreng proyekto ng software batay sa SSLeay.
Inilabas ang impormasyon tungkol sa paglabas ng isang corrective na bersyon ng ang crypto library OpenSSL 3.0.7, na nag-aayos ng dalawang kahinaankung alin at bakit ang corrective version na ito ay inilabas sa pamamagitan ng buffer overflow na pinagsamantalahan kapag nagpapatunay ng mga sertipiko ng X.509.
Ito ay nagkakahalaga ng pagbanggit na ang parehong mga problema ay sanhi ng isang buffer overflow sa code para ma-validate ang field ng email address sa mga X.509 certificate at maaaring magdulot ng code execution kapag nagpoproseso ng isang espesyal na ginawang certificate.
Sa oras ng paglabas ng pag-aayos, hindi naiulat ng mga developer ng OpenSSL ang pagkakaroon ng functional exploit na maaaring humantong sa pagpapatupad ng code ng attacker.
Mayroong isang kaso kung saan ang mga server ay maaaring pinagsamantalahan sa pamamagitan ng pagpapatotoo ng kliyente ng TLS, na maaaring lampasan ang mga kinakailangan sa pagpirma ng CA, dahil karaniwang hindi kinakailangang lagdaan ng isang pinagkakatiwalaang CA ang mga certificate ng kliyente. Dahil bihira ang pagpapatotoo ng kliyente at karamihan sa mga server ay hindi ito pinagana, ang pagsasamantala sa server ay dapat na mababa ang panganib.
Ang mga umaatake Maaaring pagsamantalahan ang kahinaang ito sa pamamagitan ng pagdidirekta sa kliyente sa isang nakakahamak na TLS server na gumagamit ng isang espesyal na ginawang sertipiko upang ma-trigger ang kahinaan.
Bagama't binanggit ng pre-release na anunsyo para sa bagong release ang isang kritikal na isyu, sa katunayan, sa inilabas na update, ang vulnerability status ay ibinaba sa Dangerous, ngunit hindi Kritikal.
Ayon sa mga tuntuning pinagtibay sa proyekto, ang ibinababa ang antas ng kalubhaan kung sakaling magkaroon ng problema sa mga hindi tipikal na configuration o sa kaso ng isang mababang posibilidad ng pagsasamantala ng isang kahinaan sa pagsasanay. Sa kasong ito, ang antas ng kalubhaan ay ibinaba, dahil ang pagsasamantala sa kahinaan ay hinarangan ng mga mekanismo ng proteksyon ng stack overflow na ginagamit sa maraming platform.
Inilarawan ng mga nakaraang anunsyo ng CVE-2022-3602 ang isyung ito bilang KRITIKAL. Ang karagdagang pagsusuri batay sa ilan sa mga nagpapagaan na salik na nakabalangkas sa itaas ay humantong sa pagbaba nito sa HIGH.
Hinihikayat pa rin ang mga user na mag-update sa isang bagong bersyon sa lalong madaling panahon. Sa isang TLS client, maaari itong ma-trigger sa pamamagitan ng pagkonekta sa isang nakakahamak na server. Sa isang TLS server, maaari itong ma-trigger kung ang server ay humiling ng pagpapatunay ng kliyente at isang malisyosong kliyente ang kumokonekta. Ang mga bersyon ng OpenSSL na 3.0.0 hanggang 3.0.6 ay mahina sa isyung ito. Ang mga user ng OpenSSL 3.0 ay dapat mag-upgrade sa OpenSSL 3.0.7.
ng mga problemang natukoy nabanggit ang sumusunod:
CVE-2022-3602- Sa simula ay iniulat bilang kritikal, ang isang kahinaan ay nagdudulot ng 4-byte na buffer overflow kapag nagbe-verify ng isang espesyal na ginawang field ng email address sa isang X.509 certificate. Sa isang TLS client, ang kahinaan ay maaaring samantalahin sa pamamagitan ng pagkonekta sa isang server na kinokontrol ng umaatake.. Sa isang TLS server, ang kahinaan ay maaaring samantalahin kung ang pagpapatunay ng kliyente gamit ang mga sertipiko ay ginagamit. Sa kasong ito, ang kahinaan ay nagpapakita mismo sa yugto pagkatapos ng pag-verify ng chain of trust na nauugnay sa sertipiko, iyon ay, ang pag-atake ay nangangailangan ng awtoridad sa sertipikasyon upang patunayan ang nakakahamak na sertipiko ng umaatake.
CVE-2022-3786: Ito ay isa pang vector ng pagsasamantala sa kahinaang CVE-2022-3602 na natukoy sa panahon ng pagsusuri ng problema. Ang mga pagkakaiba ay kumukulo hanggang sa posibilidad ng pag-apaw sa stack buffer ng isang arbitrary na bilang ng mga byte. naglalaman ng karakter na "." Maaaring gamitin ang isyu para mag-crash ang isang app.
Ang mga kahinaan ay lilitaw lamang sa sangay ng OpenSSL 3.0.x, Ang mga bersyon ng OpenSSL 1.1.1, gayundin ang mga aklatan ng LibreSSL at BoringSSL na nagmula sa OpenSSL, ay hindi apektado ng problema. Kasabay nito, inilabas ang isang update sa OpenSSL 1.1.1s, na naglalaman lamang ng mga hindi pangseguridad na pag-aayos ng bug.
Ang OpenSSL 3.0 branch ay ginagamit ng mga distribusyon tulad ng Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​​​Debian Testing/Unstable. Ang mga gumagamit ng mga system na ito ay inirerekomenda na mag-install ng mga update sa lalong madaling panahon (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
Sa SUSE Linux Enterprise 15 SP4 at openSUSE Leap 15.4, available ang mga package na may OpenSSL 3.0 bilang opsyon, ginagamit ng mga system package ang 1.1.1 branch. Ang Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16, at FreeBSD ay nananatili sa mga sanga ng OpenSSL 1.x.
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye sa sumusunod na link.