Bufferüberlauf in OpenSSL, ausgenutzt bei der Überprüfung von X.509-Zertifikaten

Eine korrigierte Version der kryptografischen Bibliothek OpenSSL 3.0.7 wurde veröffentlicht, die zwei Sicherheitsanfälligkeiten behebt. Beide Probleme sind durch einen Bufferüberlauf im Code zur Überprüfung des E-Mail-Feldes in X.509-Zertifikaten verursacht und könnten potenziell zur Ausführung von Code führen, wenn ein speziell gestaltetes Zertifikat verarbeitet wird. Zum Zeitpunkt der Veröffentlichung des Patches gab es von den Entwicklern von OpenSSL keine Berichte über funktionierende Exploits, die zur Ausführung von Angreifer-Code führen könnten.

Obwohl im vorher veröffentlichten Ankündigung des neuen Releases auf das Vorhandensein eines kritischen Problems hingewiesen wurde, wurde der Status der Sicherheitsanfälligkeit im veröffentlichten Update auf gefährlich, jedoch nicht kritisch, herabgestuft. Gemäß den im Projekt festgelegten Richtlinien wird eine Herabstufung des Risikos vorgenommen, wenn das Problem in untypischen Konfigurationen auftritt oder die Wahrscheinlichkeit eines praktischen Exploits der Sicherheitsanfälligkeit gering ist.

Im vorliegenden Fall wurde das Gefahrenlevel gesenkt, da mehrere Organisationen bei einer detaillierten Analyse der Verwundbarkeit zu dem Schluss kamen, dass die Möglichkeit zur Ausführung von Code während des Angriffs durch die in vielen Plattformen verwendeten Überlauf-Schutzmechanismen blockiert wird. Darüber hinaus führt das in einigen Linux-Distributionen verwendete Layout dazu, dass die über die Grenzen hinausgehenden 4 Bytes auf den folgenden ungenutzten Puffer im Stack übertragen werden. Dennoch ist nicht auszuschließen, dass es Plattformen gibt, auf denen die Ausführung von Code möglich ist.

Identifizierte Probleme:

  • CVE-2022-3602 – eine ursprünglich als kritisch eingestufte Sicherheitsanfälligkeit, die zu einem 4-Byte-Überlauf im Puffer führt, wenn beim Überprüfen des X.509-Zertifikats ein speziell gestalteter E-Mail-Adresseintrag vorliegt. In einem TLS-Client kann die Verwundbarkeit beim Verbindungsaufbau ausgenutzt werden. Server, der dem Angreifer kontrolliert wird. Auf dem TLS-Server kann die Schwachstelle ausgenutzt werden, wenn die Authentifizierung der Clients über Zertifikate erfolgt. Dabei tritt die Schwachstelle nach der Verifizierung der vertrauenswürdigen Zertifikatkette auf, d.h. für den Angriff ist es notwendig, dass die Zertifizierungsstelle das bösartige Zertifikat des Angreifers beglaubigt.
  • CVE-2022-3786 ist ein weiterer Exploit-Vektor der Schwachstelle CVE-2022-3602, die bei der Analyse des Problems entdeckt wurde. Die Unterschiede liegen in der Möglichkeit eines Buffer Overflows im Stack mit einer beliebigen Anzahl von Bytes, die das Zeichen '.' enthalten (d.h. der Angreifer kann den Inhalt der Überlaufzone nicht steuern, und das Problem kann nur zur Herbeiführung eines Absturzes der Anwendung verwendet werden).

Die Schwachstellen treten nur in der OpenSSL 3.0.x Reihe auf (der Fehler wurde im Unicode-Konvertierungscode (punycode) eingeführt, der in die 3.0.x Reihe eingefügt wurde). Die Versionen OpenSSL 1.1.1 sowie die abgeleiteten Bibliotheken LibreSSL und BoringSSL sind von diesem Problem nicht betroffen. Gleichzeitig wurde ein Update für OpenSSL 1.1.1s veröffentlicht, das ausschließlich nicht sicherheitsrelevante Fehlerbehebungen enthält.

Der OpenSSL 3.0 Branch wird in Distributoren wie Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36 und Debian Testing/Unstable verwendet. Nutzern dieser Systeme wird dringend geraten, die Updates so schnell wie möglich zu installieren (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). In SUSE Linux Enterprise 15 SP4 und openSUSE Leap 15.4 sind Pakete mit OpenSSL 3.0 optional verfügbar, die Systempakete verwenden die Version 1.1.1. Auf den OpenSSL 1.x Branches bleiben Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 und FreeBSD.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster