OpenSSL 是一個基於 SSLeay 的免費軟件項目。
相關信息已發布 發布修正版 加密庫 OpenSSL 3.0.7,修復了兩個漏洞至於發布這個修正版本的原因和原因是 驗證 X.509 證書時利用緩衝區溢出。
值得一提的是 這兩個問題都是由緩衝區溢出引起的 在代碼中驗證 X.509 證書中的電子郵件地址字段,並且在處理特製證書時可能導致代碼執行。
在發布修復程序時,OpenSSL 開發人員尚未報告存在可能導致執行攻擊者代碼的功能漏洞。
存在可以利用服務器的情況 通過 TLS 客戶端身份驗證,它可以繞過 CA 簽名要求,因為客戶端證書通常不需要由受信任的 CA 簽名。 由於客戶端身份驗證很少見,並且大多數服務器都沒有啟用它,因此利用服務器應該是低風險的。
攻擊者 可以通過將客戶端定向到惡意 TLS 服務器來利用此漏洞 它使用特製的證書來觸發漏洞。
雖然新版本的預發佈公告提到了一個嚴重問題,但實際上,在發布的更新中,漏洞狀態被降級為 Dangerous,但不是 Critical。
根據項目採用的規則, 在非典型配置出現問題時降低嚴重性級別 或者在實踐中利用漏洞的可能性很低的情況下。 在這種情況下,嚴重性級別已經降低,因為許多平台上使用的堆棧溢出保護機制阻止了對該漏洞的利用。
先前的 CVE-2022-3602 公告將此問題描述為嚴重問題。 基於上述一些緩解因素的額外分析導致其被降級為高。
仍然鼓勵用戶盡快更新到新版本。 在 TLS 客戶端上,這可以通過連接到惡意服務器來觸發。 在 TLS 服務器上,如果服務器請求客戶端身份驗證並且惡意客戶端連接,則可以觸發此操作。 OpenSSL 版本 3.0.0 到 3.0.6 容易受到此問題的影響。 OpenSSL 3.0 用戶應升級到 OpenSSL 3.0.7。
發現的問題 提到以下內容:
CVE-2022,3602– 最初報告為嚴重漏洞,在驗證 X.4 證書中特製的電子郵件地址字段時,漏洞會導致 509 字節緩衝區溢出。 在 TLS 客戶端上,可以通過連接到攻擊者控制的服務器來利用該漏洞. 在 TLS 服務器上,如果使用使用證書的客戶端身份驗證,則可以利用該漏洞。 在這種情況下,漏洞表現在與證書關聯的信任鏈驗證之後的階段,即攻擊需要證書頒發機構對攻擊者的惡意證書進行驗證。
CVE-2022,3786:這是在問題分析過程中發現的另一個利用漏洞 CVE-2022-3602 的載體。 差異歸結為任意字節數溢出堆棧緩衝區的可能性。 包含“.”字符。 該問題可用於導致應用程序崩潰。
這些漏洞僅出現在 OpenSSL 3.0.x 分支中, OpenSSL 版本 1.1.1 以及從 OpenSSL 派生的 LibreSSL 和 BoringSSL 庫不受該問題的影響。 同時,發布了對 OpenSSL 1.1.1s 的更新,僅包含非安全錯誤修復。
OpenSSL 3.0 分支被 Ubuntu 22.04、CentOS Stream 9、RHEL 9、OpenMandriva 4.2、Gentoo、Fedora 36、Debian Testing/Unstable 等發行版使用。 建議這些系統的用戶盡快安裝更新(Debian、Ubuntu、RHEL、SUSE/openSUSE、Fedora、Arch)。
在 SUSE Linux Enterprise 15 SP4 和 openSUSE Leap 15.4 中,可以選擇使用 OpenSSL 3.0 的軟件包,系統軟件包使用 1.1.1 分支。 Debian 11、Arch Linux、Void Linux、Ubuntu 20.04、Slackware、ALT Linux、RHEL 8、OpenWrt、Alpine Linux 3.16 和 FreeBSD 仍保留在 OpenSSL 1.x 分支中。
終於 如果您有興趣了解更多信息,您可以在中查看詳細信息 以下鏈接。