OpenSSL 是一个基于 SSLeay 的免费软件项目。
相关信息已发布 发布修正版 加密库 OpenSSL 3.0.7,修复了两个漏洞至于发布这个修正版本的原因和原因是 验证 X.509 证书时利用缓冲区溢出。
值得一提的是 这两个问题都是由缓冲区溢出引起的 在代码中验证 X.509 证书中的电子邮件地址字段,并且在处理特制证书时可能导致代码执行。
在发布修复程序时,OpenSSL 开发人员尚未报告存在可能导致执行攻击者代码的功能漏洞。
存在可以利用服务器的情况 通过 TLS 客户端身份验证,它可以绕过 CA 签名要求,因为客户端证书通常不需要由受信任的 CA 签名。 由于客户端身份验证很少见,并且大多数服务器都没有启用它,因此利用服务器应该是低风险的。
攻击者 可以通过将客户端定向到恶意 TLS 服务器来利用此漏洞 它使用特制的证书来触发漏洞。
虽然新版本的预发布公告提到了一个严重问题,但实际上,在发布的更新中,漏洞状态被降级为 Dangerous,但不是 Critical。
根据项目采用的规则, 在非典型配置出现问题时降低严重性级别 或者在实践中利用漏洞的可能性很低的情况下。 在这种情况下,严重性级别已经降低,因为许多平台上使用的堆栈溢出保护机制阻止了对该漏洞的利用。
先前的 CVE-2022-3602 公告将此问题描述为严重问题。 基于上述一些缓解因素的额外分析导致其被降级为高。
仍然鼓励用户尽快更新到新版本。 在 TLS 客户端上,这可以通过连接到恶意服务器来触发。 在 TLS 服务器上,如果服务器请求客户端身份验证并且恶意客户端连接,则可以触发此操作。 OpenSSL 版本 3.0.0 到 3.0.6 容易受到此问题的影响。 OpenSSL 3.0 用户应升级到 OpenSSL 3.0.7。
发现的问题 提到以下内容:
CVE-2022-3602– 最初报告为严重漏洞,在验证 X.4 证书中特制的电子邮件地址字段时,漏洞会导致 509 字节缓冲区溢出。 在 TLS 客户端上,可以通过连接到攻击者控制的服务器来利用该漏洞. 在 TLS 服务器上,如果使用使用证书的客户端身份验证,则可以利用该漏洞。 在这种情况下,漏洞表现在与证书关联的信任链验证之后的阶段,即攻击需要证书颁发机构对攻击者的恶意证书进行验证。
CVE-2022-3786:这是在问题分析过程中发现的另一个利用漏洞 CVE-2022-3602 的载体。 差异归结为任意字节数溢出堆栈缓冲区的可能性。 包含“.”字符。 该问题可用于导致应用程序崩溃。
这些漏洞仅出现在 OpenSSL 3.0.x 分支中, OpenSSL 版本 1.1.1 以及从 OpenSSL 派生的 LibreSSL 和 BoringSSL 库不受该问题的影响。 同时,发布了对 OpenSSL 1.1.1s 的更新,仅包含非安全错误修复。
OpenSSL 3.0 分支被 Ubuntu 22.04、CentOS Stream 9、RHEL 9、OpenMandriva 4.2、Gentoo、Fedora 36、Debian Testing/Unstable 等发行版使用。 建议这些系统的用户尽快安装更新(Debian、Ubuntu、RHEL、SUSE/openSUSE、Fedora、Arch)。
在 SUSE Linux Enterprise 15 SP4 和 openSUSE Leap 15.4 中,可以选择使用 OpenSSL 3.0 的软件包,系统软件包使用 1.1.1 分支。 Debian 11、Arch Linux、Void Linux、Ubuntu 20.04、Slackware、ALT Linux、RHEL 8、OpenWrt、Alpine Linux 3.16 和 FreeBSD 仍保留在 OpenSSL 1.x 分支中。
最后 如果您有兴趣了解更多有关它的信息,您可以在中查看详细信息 以下链接。