OpenSSL 3.0.7 liburutegi kriptografikoaren bertsio zuzentzailea argitaratu da, bi ahultasun konpontzen dituena. Arazo biak X.509 ziurtagirietako posta elektronikoko eremuaren baliozkotze-kodean buffer gainezkatzeek eragiten dituzte eta baliteke kode exekuzioa ekar dezakete bereziki markatutako ziurtagiri bat prozesatzen denean. Konponketa argitaratu zen unean, OpenSSL garatzaileek ez zuten erasotzailearen kodea exekutatu zezakeen lan-explotazio baten presentziaren frogarik erregistratu.
Argitalpen berriaren aurreko iragarkiak arazo kritiko baten presentzia aipatu bazuen ere, kaleratutako eguneraketan ahultasun egoera arriskutsuaren mailara murriztu zen, baina ez ahultasun kritikoa. Proiektuan onartutako arauen arabera, arrisku maila murrizten da arazoa konfigurazio atipikoetan agertzen bada edo praktikan ahultasuna ustiatzeko probabilitate txikia badago.
Kasu honetan, larritasun-maila murriztu egin zen, hainbat erakundek ahultasunaren azterketa zehatzak ondorioztatu baitzuen ustiapenean kodea exekutatzeko gaitasuna blokeatu egin zela plataforma askotan erabiltzen diren pila gainezkatze-mekanismoek. Horrez gain, Linux banaketa batzuetan erabiltzen den sareta-diseinuaren ondorioz, mugetatik kanpo irteten diren 4 byteak pilako hurrengo bufferean gainjartzen dira, oraindik erabiltzen ez dena. Hala ere, baliteke kodea exekutatzeko ustiatu daitezkeen plataformak egotea.
Identifikatutako arazoak:
- CVE-2022-3602 - ahultasun batek, hasieran kritiko gisa aurkezten dena, 4 byteko buffer gainezkatzea dakar X.509 ziurtagiri batean bereziki diseinatutako helbide elektronikoa duen eremu bat egiaztatzean. TLS bezero batean, ahultasuna ustiatu daiteke erasotzaileak kontrolatutako zerbitzari batera konektatzean. TLS zerbitzari batean, ahultasuna aprobetxatu daiteke ziurtagirien bidez bezeroen autentifikazioa erabiltzen bada. Kasu honetan, ahultasuna ziurtagiriarekin lotutako konfiantza-katea egiaztatu ondorengo fasean agertzen da, hau da. Erasoa ziurtagiri-agintaritzak erasotzailearen ziurtagiri gaiztoa egiaztatzea eskatzen du.
- CVE-2022-3786 CVE-2022-3602 ahultasuna ustiatzeko beste bektore bat da, arazoaren analisian identifikatutakoa. Desberdintasunak pilako buffer bat gainezka egiteko aukeran datza "." (hau da, erasotzaileak ezin du gainezkatzearen edukia kontrolatu eta arazoa aplikazioa huts egiteko soilik erabil daiteke).
Ahultasunak OpenSSL 3.0.x adarrean bakarrik agertzen dira (akatsa 3.0.x adarrean gehitutako Unicode bihurketa kodean (punycode) sartu zen). OpenSSL 1.1.1-en bertsioek, baita LibreSSL eta BoringSSL OpenSSL fork liburutegiek ere, ez dute arazoaren eraginik. Aldi berean, OpenSSL 1.1.1s eguneratzea kaleratu zen, segurtasunez kanpoko akatsen konponketak soilik dituena.
OpenSSL 3.0 adarra Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable bezalako banaketetan erabiltzen da. Sistema hauen erabiltzaileei eguneraketak ahalik eta azkarren instalatzea gomendatzen zaie (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). SUSE Linux Enterprise 15 SP4 eta openSUSE Leap 15.4-n, OpenSSL 3.0 duten paketeak eskuragarri daude aukeran, sistema-paketeek 1.1.1 adarra erabiltzen dute. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 eta FreeBSD OpenSSL 3.16.x adarretan jarraitzen dute.
Iturria: opennet.ru