OpenSSL-salauskirjastosta 3.0.7 on julkaistu korjaava julkaisu, joka korjaa kaksi haavoittuvuutta. Molemmat ongelmat johtuvat puskurin ylivuodosta sähköpostikentän vahvistuskoodissa X.509-varmenteissa, ja ne voivat mahdollisesti johtaa koodin suorittamiseen, kun käsitellään erityisesti kehystettyä varmennetta. Korjauksen julkaisuhetkellä OpenSSL-kehittäjät eivät olleet tallentaneet todisteita toimivasta hyväksikäytöstä, joka voisi johtaa hyökkääjän koodin suorittamiseen.
Huolimatta siitä, että uuden julkaisun ennakkojulkaisussa mainittiin kriittisen ongelman olemassaolo, itse asiassa julkaistussa päivityksessä haavoittuvuuden tila pienennettiin vaarallisen, mutta ei kriittisen haavoittuvuuden tasolle. Projektissa hyväksyttyjen sääntöjen mukaisesti vaaratasoa pienennetään, jos ongelma ilmenee epätyypillisissä kokoonpanoissa tai jos haavoittuvuuden hyödyntämisen todennäköisyys käytännössä on pieni.
Tässä tapauksessa vakavuustasoa alennettiin, koska useiden organisaatioiden haavoittuvuuden yksityiskohtainen analyysi päätteli, että monissa alustoissa käytetyt pinon ylivuotosuojamekanismit estivät kyvyn suorittaa koodia hyväksikäytön aikana. Lisäksi joissakin Linux-jakeluissa käytetty ruudukkoasettelu johtaa siihen, että 4 tavua, jotka menevät rajojen ulkopuolelle, asetetaan pinon seuraavaan puskuriin, joka ei ole vielä käytössä. On kuitenkin mahdollista, että on olemassa alustoja, joita voidaan hyödyntää koodin suorittamiseen.
Tunnistetut ongelmat:
- CVE-2022-3602 – haavoittuvuus, joka esitettiin alun perin kriittiseksi, johtaa 4-tavuiseen puskurin ylivuotoon, kun X.509-varmenteessa tarkistetaan kenttää, jossa on erityisesti suunniteltu sähköpostiosoite. TLS-asiakkaassa haavoittuvuutta voidaan käyttää hyväkseen, kun muodostetaan yhteys hyökkääjän hallitsemaan palvelimeen. TLS-palvelimella haavoittuvuutta voidaan hyödyntää, jos asiakastodennusta käytetään sertifikaattien avulla. Tässä tapauksessa haavoittuvuus ilmenee siinä vaiheessa, kun varmenteeseen liittyvä luottamusketju on varmistettu, ts. Hyökkäys edellyttää, että varmenneviranomainen tarkistaa hyökkääjän haitallisen varmenteen.
- CVE-2022-3786 on toinen vektori CVE-2022-3602-haavoittuvuuden hyödyntämiseksi, joka tunnistettiin ongelman analysoinnin aikana. Erot tiivistyvät mahdollisuuteen täyttää pinon puskuri mielivaltaisella määrällä tavuja, jotka sisältävät "." (eli hyökkääjä ei voi hallita ylivuodon sisältöä ja ongelmaa voidaan käyttää vain sovelluksen kaatumisen aiheuttamiseen).
Haavoittuvuudet näkyvät vain OpenSSL 3.0.x -haarassa (virhe otettiin käyttöön Unicode-muunnoskoodissa (punycode), joka lisättiin 3.0.x-haaraan). Ongelma ei vaikuta OpenSSL 1.1.1:n julkaisuihin eikä OpenSSL-haarukkakirjastoihin LibreSSL ja BoringSSL. Samaan aikaan julkaistiin OpenSSL 1.1.1s -päivitys, joka sisältää vain ei-tietoturvavirheenkorjauksia.
OpenSSL 3.0 -haaraa käytetään jakeluissa, kuten Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Näiden järjestelmien käyttäjiä suositellaan asentamaan päivitykset mahdollisimman pian (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). SUSE Linux Enterprise 15 SP4:ssä ja openSUSE Leap 15.4:ssä OpenSSL 3.0 -paketit ovat saatavana valinnaisesti, järjestelmäpaketit käyttävät 1.1.1-haaraa. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ja FreeBSD pysyvät OpenSSL 3.16.x -haaroissa.
Lähde: opennet.ru