'n Regstellende vrystelling van die OpenSSL-kriptografiese biblioteek 3.0.7 is gepubliseer, wat twee kwesbaarhede regstel. Albei kwessies word veroorsaak deur bufferoorlope in die e-posveld-valideringskode in X.509-sertifikate en kan moontlik lei tot kode-uitvoering wanneer 'n spesiaal geraamde sertifikaat verwerk word. Ten tyde van die publikasie van die regstelling het die OpenSSL-ontwikkelaars geen bewyse aangeteken van die teenwoordigheid van 'n werkende uitbuiting wat kan lei tot die uitvoering van die aanvaller se kode nie.
Ten spyte van die feit dat die aankondiging vooraf van die nuwe vrystelling die teenwoordigheid van 'n kritieke probleem genoem het, is die status van die kwesbaarheid in werklikheid verminder tot die vlak van 'n gevaarlike, maar nie kritieke kwesbaarheid nie. In ooreenstemming met die reëls wat in die projek aangeneem is, word die vlak van gevaar verminder as die probleem hom in atipiese konfigurasies manifesteer of as daar 'n lae waarskynlikheid van uitbuiting van die kwesbaarheid in die praktyk is.
In hierdie geval is die ernsvlak verminder omdat 'n gedetailleerde ontleding van die kwesbaarheid deur verskeie organisasies tot die gevolgtrekking gekom het dat die vermoë om kode tydens uitbuiting uit te voer geblokkeer is deur stapel-oorloopbeskermingsmeganismes wat in baie platforms gebruik word. Daarbenewens lei die roosteruitleg wat in sommige Linux-verspreidings gebruik word daartoe dat die 4 grepe wat buite perke gaan, op die volgende buffer op die stapel geplaas word, wat nog nie in gebruik is nie. Dit is egter moontlik dat daar platforms is wat uitgebuit kan word om kode uit te voer.
Kwessies geïdentifiseer:
- CVE-2022-3602 - 'n kwesbaarheid, wat aanvanklik as kritiek voorgehou word, lei tot 'n 4-grepe bufferoorloop wanneer 'n veld met 'n spesiaal ontwerpte e-posadres in 'n X.509-sertifikaat nagegaan word. In 'n TLS-kliënt kan die kwesbaarheid uitgebuit word wanneer daar aan 'n bediener gekoppel word wat deur die aanvaller beheer word. Op 'n TLS-bediener kan die kwesbaarheid uitgebuit word as kliëntverifikasie met sertifikate gebruik word. In hierdie geval verskyn die kwesbaarheid op die stadium na verifikasie van die vertrouesketting wat met die sertifikaat geassosieer word, d.w.s. Die aanval vereis dat die sertifikaatowerheid die kwaadwillige sertifikaat van die aanvaller verifieer.
- CVE-2022-3786 is 'n ander vektor vir die ontginning van die CVE-2022-3602 kwesbaarheid, geïdentifiseer tydens die ontleding van die probleem. Die verskille kom neer op die moontlikheid om 'n buffer op die stapel te oorloop met 'n arbitrêre aantal grepe wat die "." (m.a.w. die aanvaller kan nie die inhoud van die oorloop beheer nie en die probleem kan slegs gebruik word om die toepassing te laat ineenstort).
Die kwesbaarhede verskyn slegs in die OpenSSL 3.0.x-tak (die fout is bekendgestel in die Unicode-omskakelingskode (punycode) wat by die 3.0.x-tak gevoeg is). Vrystellings van OpenSSL 1.1.1, sowel as die OpenSSL-vurkbiblioteke LibreSSL en BoringSSL, word nie deur die probleem geraak nie. Terselfdertyd is die OpenSSL 1.1.1s-opdatering vrygestel, wat slegs nie-sekuriteitsfoutoplossings bevat.
Die OpenSSL 3.0-tak word gebruik in verspreidings soos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian-toetsing/onstabiel. Gebruikers van hierdie stelsels word aanbeveel om opdaterings so gou moontlik te installeer (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 is pakkette met OpenSSL 3.0 opsioneel beskikbaar, stelselpakkette gebruik die 1.1.1-tak. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 en FreeBSD bly op die OpenSSL 3.16.x-takke.
Bron: opennet.ru