Ang usa ka corrective release sa OpenSSL cryptographic library 3.0.7 gipatik, nga nag-ayo sa duha ka mga kahuyangan. Ang duha ka mga isyu tungod sa buffer overflows sa email field validation code sa X.509 nga mga sertipiko ug mahimong motultol sa code execution sa diha nga pagproseso sa usa ka espesyal nga framed certificate. Sa panahon sa pagmantala sa pag-ayo, ang mga developer sa OpenSSL wala nakarekord sa bisan unsang ebidensya sa presensya sa usa ka nagtrabaho nga pagpahimulos nga mahimong mosangpot sa pagpatuman sa code sa tig-atake.
Bisan pa sa kamatuoran nga ang pre-release nga pahibalo sa bag-ong pagpagawas naghisgot sa presensya sa usa ka kritikal nga isyu, sa pagkatinuod, sa gipagawas nga update ang kahimtang sa kahuyang gipakunhod ngadto sa lebel sa usa ka delikado, apan dili kritikal nga kahuyang. Nahiuyon sa mga lagda nga gisagop sa proyekto, ang lebel sa kapeligrohan makunhuran kung ang problema magpakita sa kaugalingon sa dili tipikal nga mga pag-configure o kung adunay gamay nga posibilidad sa pagpahimulos sa pagkahuyang sa praktis.
Sa kini nga kaso, ang lebel sa kagrabe gipakunhod tungod kay ang usa ka detalyado nga pag-analisar sa pagkahuyang sa daghang mga organisasyon nakahinapos nga ang abilidad sa pagpatuman sa code sa panahon sa pagpahimulos gibabagan sa mga mekanismo sa pagpanalipod sa stack overflow nga gigamit sa daghang mga platform. Dugang pa, ang layout sa grid nga gigamit sa pipila ka mga pag-apod-apod sa Linux nagresulta sa 4 ka byte nga walaβy limitasyon nga gipatong sa sunod nga buffer sa stack, nga wala pa magamit. Bisan pa, posible nga adunay mga plataporma nga mahimong mapahimuslan aron ipatuman ang code.
Giila ang mga isyu:
- CVE-2022-3602 - usa ka vulnerability, sa sinugdan gipresentar isip kritikal, mosangpot sa 4-byte buffer overflow kung susihon ang usa ka field nga adunay espesyal nga gidisenyo nga email address sa usa ka X.509 certificate. Sa usa ka kliyente sa TLS, ang pagkahuyang mahimong mapahimuslan kung magkonektar sa usa ka server nga kontrolado sa tig-atake. Sa usa ka TLS server, ang pagkahuyang mahimong mapahimuslan kung gigamit ang pag-authenticate sa kliyente gamit ang mga sertipiko. Sa kini nga kaso, ang pagkahuyang makita sa yugto pagkahuman sa pag-verify sa kadena sa pagsalig nga may kalabotan sa sertipiko, i.e. Ang pag-atake nanginahanglan nga ang awtoridad sa sertipiko magpamatuod sa makadaot nga sertipiko sa tig-atake.
- Ang CVE-2022-3786 usa pa ka vector alang sa pagpahimulos sa pagkahuyang sa CVE-2022-3602, nga giila sa panahon sa pagtuki sa problema. Ang mga kalainan nagbukal ngadto sa posibilidad sa pag-awas sa usa ka buffer sa stack pinaagi sa usa ka arbitraryong gidaghanon sa mga byte nga adunay sulod nga "." (i.e. dili makontrol sa tig-atake ang mga sulud sa pag-awas ug ang problema magamit ra aron ma-crash ang aplikasyon).
Ang mga kahuyangan makita lamang sa OpenSSL 3.0.x branch (ang bug gipaila sa Unicode conversion code (punycode) nga gidugang sa 3.0.x branch). Ang mga pagpagawas sa OpenSSL 1.1.1, ingon man ang OpenSSL fork libraries LibreSSL ug BoringSSL, dili apektado sa problema. Sa samang higayon, ang OpenSSL 1.1.1s update gibuhian, nga naglangkob lamang sa non-security bug fixes.
Ang OpenSSL 3.0 nga sanga gigamit sa mga distribusyon sama sa Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable. Ang mga tiggamit niini nga mga sistema girekomendar sa pag-instalar sa mga update sa labing madali nga panahon (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Sa SUSE Linux Enterprise 15 SP4 ug openSUSE Leap 15.4, ang mga pakete nga adunay OpenSSL 3.0 magamit nga opsyonal, ang mga pakete sa sistema naggamit sa 1.1.1 nga sanga. Ang Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ug FreeBSD nagpabilin sa OpenSSL 3.16.x nga mga sanga.
Source: opennet.ru