Une version corrective de la bibliothèque cryptographique OpenSSL 3.0.7 a été publiée, qui corrige deux vulnérabilités. Les deux problèmes sont causés par des dépassements de tampon dans le code de validation du champ de courrier électronique dans les certificats X.509 et peuvent potentiellement conduire à l'exécution de code lors du traitement d'un certificat spécialement encadré. Au moment de la publication du correctif, les développeurs d’OpenSSL n’avaient enregistré aucune preuve de la présence d’un exploit fonctionnel pouvant conduire à l’exécution du code de l’attaquant.
Malgré le fait que l'annonce préliminaire de la nouvelle version mentionnait la présence d'un problème critique, en fait, dans la mise à jour publiée, le statut de la vulnérabilité a été réduit au niveau d'une vulnérabilité dangereuse, mais pas critique. Conformément aux règles adoptées dans le projet, le niveau de danger est réduit si le problème se manifeste dans des configurations atypiques ou s'il existe une faible probabilité d'exploitation de la vulnérabilité dans la pratique.
Dans ce cas, le niveau de gravité a été réduit car une analyse détaillée de la vulnérabilité par plusieurs organisations a conclu que la capacité d'exécuter du code pendant l'exploitation était bloquée par les mécanismes de protection contre le débordement de pile utilisés sur de nombreuses plates-formes. De plus, la disposition en grille utilisée dans certaines distributions Linux entraîne la superposition des 4 octets hors limites sur le tampon suivant de la pile, qui n'est pas encore utilisé. Cependant, il est possible qu’il existe des plateformes exploitables pour exécuter du code.
Problèmes identifiés :
- CVE-2022-3602 - une vulnérabilité, initialement présentée comme critique, entraîne un débordement de tampon de 4 octets lors de la vérification d'un champ avec une adresse email spécialement conçue dans un certificat X.509. Dans un client TLS, la vulnérabilité peut être exploitée lors de la connexion à un serveur contrôlé par l'attaquant. Sur un serveur TLS, la vulnérabilité peut être exploitée si l'authentification client à l'aide de certificats est utilisée. Dans ce cas, la vulnérabilité apparaît au stade après vérification de la chaîne de confiance associée au certificat, c'est-à-dire L'attaque nécessite que l'autorité de certification vérifie le certificat malveillant de l'attaquant.
- CVE-2022-3786 est un autre vecteur d'exploitation de la vulnérabilité CVE-2022-3602, identifié lors de l'analyse du problème. Les différences se résument à la possibilité de déborder d'un tampon sur la pile d'un nombre arbitraire d'octets contenant le « ». (c'est-à-dire que l'attaquant ne peut pas contrôler le contenu du débordement et que le problème ne peut être utilisé que pour provoquer le crash de l'application).
Les vulnérabilités n'apparaissent que dans la branche OpenSSL 3.0.x (le bug a été introduit dans le code de conversion Unicode (punycode) ajouté à la branche 3.0.x). Les versions d'OpenSSL 1.1.1, ainsi que les bibliothèques fork OpenSSL LibreSSL et BoringSSL, ne sont pas affectées par le problème. Dans le même temps, la mise à jour OpenSSL 1.1.1s a été publiée, qui ne contient que des corrections de bogues non liés à la sécurité.
La branche OpenSSL 3.0 est utilisée dans des distributions telles que Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Il est recommandé aux utilisateurs de ces systèmes d'installer les mises à jour dès que possible (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Dans SUSE Linux Enterprise 15 SP4 et openSUSE Leap 15.4, les packages avec OpenSSL 3.0 sont disponibles en option, les packages système utilisent la branche 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 et FreeBSD restent sur les branches OpenSSL 3.16.x.
Source: opennet.ru