OpenSSL kriptoqrafik kitabxanasının 3.0.7 korreksiyaedici buraxılışı nəşr olunub ki, bu da iki zəifliyi aradan qaldırır. Hər iki problem X.509 sertifikatlarında e-poçt sahəsinin doğrulama kodundakı bufer daşqınları ilə əlaqədardır və xüsusi çərçivəli sertifikatın işlənməsi zamanı potensial olaraq kodun icrasına səbəb ola bilər. Düzəlişin dərc edildiyi vaxt OpenSSL tərtibatçıları təcavüzkarın kodunun icrasına səbəb ola biləcək işləyən istismarın mövcudluğuna dair heç bir sübut qeydə almamışdılar.
Yeni buraxılışın buraxılış öncəsi elanında kritik problemin olması qeyd olunsa da, əslində buraxılmış yeniləmədə zəifliyin statusu təhlükəli, lakin kritik olmayan zəiflik səviyyəsinə endirilib. Layihədə qəbul edilmiş qaydalara uyğun olaraq, problem atipik konfiqurasiyalarda özünü göstərərsə və ya praktikada zəiflikdən istifadə ehtimalı aşağı olarsa, təhlükə səviyyəsi azalır.
Bu halda, həssaslıq səviyyəsi azaldıldı, çünki bir neçə təşkilat tərəfindən zəifliyin ətraflı təhlili bir çox platformalarda istifadə olunan stek daşmasından qorunma mexanizmləri tərəfindən istismar zamanı kodu icra etmək qabiliyyətinin bloklandığı qənaətinə gəldi. Bundan əlavə, bəzi Linux paylamalarında istifadə edilən şəbəkə tərtibatı, həddən kənara çıxan 4 baytın hələ istifadə olunmayan yığındakı növbəti buferin üzərinə qoyulması ilə nəticələnir. Bununla belə, kodu icra etmək üçün istifadə edilə bilən platformaların olması mümkündür.
Müəyyən edilmiş problemlər:
- CVE-2022-3602 - əvvəlcə kritik kimi təqdim edilən zəiflik X.4 sertifikatında xüsusi hazırlanmış e-poçt ünvanı olan sahəni yoxlayarkən 509 baytlıq bufer daşmasına səbəb olur. TLS müştərisində zəiflik təcavüzkar tərəfindən idarə olunan serverə qoşulduqda istifadə edilə bilər. TLS serverində, sertifikatlardan istifadə edərək müştəri autentifikasiyası istifadə edilərsə, zəiflikdən istifadə edilə bilər. Bu halda, zəiflik sertifikatla əlaqəli etimad zəncirinin yoxlanılmasından sonrakı mərhələdə görünür, yəni. Hücum sertifikat orqanından təcavüzkarın zərərli sertifikatını yoxlamasını tələb edir.
- CVE-2022-3786 problemin təhlili zamanı müəyyən edilmiş CVE-2022-3602 zəifliyindən istifadə etmək üçün başqa vektordur. Fərqlər yığındakı buferi “.” ehtiva edən ixtiyari sayda baytla aşmaq ehtimalına qədər azalır. (yəni, təcavüzkar daşqının məzmununu idarə edə bilmir və problem yalnız tətbiqin çökməsinə səbəb olmaq üçün istifadə edilə bilər).
Zəifliklər yalnız OpenSSL 3.0.x filialında görünür (baq 3.0.x filialına əlavə edilmiş Unicode çevrilmə kodunda (punycode) təqdim edilib). OpenSSL 1.1.1 buraxılışları, eləcə də OpenSSL fork kitabxanaları LibreSSL və BoringSSL problemdən təsirlənmir. Eyni zamanda OpenSSL 1.1.1s yeniləməsi də buraxıldı ki, bu da yalnız təhlükəsizliklə bağlı olmayan xətaları aradan qaldırır.
OpenSSL 3.0 filialı Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testi/Qeyri-sabit kimi paylamalarda istifadə olunur. Bu sistemlərin istifadəçilərinə yeniləmələri mümkün qədər tez quraşdırmaları tövsiyə olunur (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). SUSE Linux Enterprise 15 SP4 və openSUSE Leap 15.4-də OpenSSL 3.0 ilə paketlər isteğe bağlıdır, sistem paketləri 1.1.1 filialından istifadə edir. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 və FreeBSD OpenSSL 3.16.x filiallarında qalır.
Mənbə: opennet.ru