Avaldatud on OpenSSL-i krüptoteegi 3.0.7 korrigeeriv väljalase, mis parandab kaks turvaauku. Mõlemad probleemid on põhjustatud puhvri ületäitumisest e-posti välja valideerimiskoodis X.509 sertifikaatides ja võivad spetsiaalselt raamitud sertifikaadi töötlemisel viia koodi täitmiseni. Paranduse avaldamise ajal ei olnud OpenSSL-i arendajad registreerinud ühtegi tõendit toimiva ärakasutamise kohta, mis võiks viia ründaja koodi täitmiseni.
Hoolimata asjaolust, et uue versiooni väljalaskeeelses teadaandes mainiti kriitilise probleemi olemasolu, vähendati välja antud värskenduses haavatavuse staatust ohtliku, kuid mitte kriitilise haavatavuse tasemele. Vastavalt projektis vastuvõetud reeglitele väheneb ohutase, kui probleem avaldub ebatüüpilistes konfiguratsioonides või kui haavatavuse praktikas ärakasutamise tõenäosus on väike.
Sel juhul vähendati raskusastet, kuna mitme organisatsiooni haavatavuse üksikasjalik analüüs jõudis järeldusele, et paljudel platvormidel kasutatavad virna ületäitumise kaitsemehhanismid blokeerisid koodi käivitamise võimaluse ärakasutamise ajal. Lisaks sellele asetatakse mõnes Linuxi distributsioonis kasutatav ruudustikupaigutus selleni, et 4 baiti, mis väljuvad piiridest, asetatakse virna järgmisele puhvrile, mida veel ei kasutata. Siiski on võimalik, et on platvorme, mida saab koodi käivitamiseks ära kasutada.
Tuvastatud probleemid:
- CVE-2022-3602 – haavatavus, mida esitleti esialgu kriitilisena, põhjustab 4-baidise puhvri ületäitumise, kui kontrollitakse X.509 sertifikaadis spetsiaalselt loodud meiliaadressiga välja. TLS-kliendis saab haavatavust ära kasutada ründaja kontrollitava serveriga ühenduse loomisel. TLS-serveris saab haavatavust ära kasutada, kui kasutatakse kliendi autentimist sertifikaatide abil. Sel juhul ilmneb haavatavus etapis pärast sertifikaadiga seotud usaldusahela kontrollimist, st. Rünnak nõuab, et sertifitseerimisasutus kontrolliks ründaja pahatahtlikku sertifikaati.
- CVE-2022-3786 on veel üks vektor CVE-2022-3602 haavatavuse ärakasutamiseks, mis tuvastati probleemi analüüsi käigus. Erinevused taanduvad võimalusele täita virna puhver suvalise arvu baitide võrra, mis sisaldavad "." (st ründaja ei saa ülevoolu sisu kontrollida ja probleemi saab kasutada ainult rakenduse krahhi põhjustamiseks).
Turvaaugud ilmuvad ainult OpenSSL 3.0.x harus (viga viidi sisse 3.0.x harule lisatud Unicode'i teisenduskoodis (punycode). See probleem ei puuduta OpenSSL 1.1.1 väljalaseid, samuti OpenSSL-i kahvliteeke LibreSSL ja BoringSSL. Samal ajal ilmus OpenSSL 1.1.1s värskendus, mis sisaldab ainult mitteturvalisusega seotud veaparandusi.
OpenSSL 3.0 haru kasutatakse sellistes distributsioonides nagu Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Nende süsteemide kasutajatel on soovitatav installida värskendused niipea kui võimalik (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). SUSE Linux Enterprise 15 SP4 ja openSUSE Leap 15.4 puhul on OpenSSL 3.0 paketid saadaval valikuliselt, süsteemipaketid kasutavad haru 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ja FreeBSD jäävad OpenSSL 3.16.x harudesse.
Allikas: opennet.ru