In korrektive release fan de OpenSSL kryptografyske bibleteek 3.0.7 is publisearre, dy't twa kwetsberens repareart. Beide problemen wurde feroarsake troch buffer oerstreamingen yn de e-post fjild falidaasje koade yn X.509 sertifikaten en kin mooglik liede ta koade útfiering by it ferwurkjen fan in spesjaal framed sertifikaat. Yn 'e tiid fan publikaasje fan' e fix hienen de OpenSSL-ûntwikkelders gjin bewiis opnommen fan 'e oanwêzigens fan in wurkjende eksploitaasje dy't liede koe ta de útfiering fan' e koade fan 'e oanfaller.
Nettsjinsteande it feit dat de pre-release oankundiging fan 'e nije release neamde de oanwêzigens fan in kritysk probleem, yn feite, yn' e frijlitten update waard de status fan 'e kwetsberens fermindere nei it nivo fan in gefaarlike, mar net krityske kwetsberens. Yn oerienstimming mei de regels oannommen yn it projekt, wurdt it nivo fan gefaar fermindere as it probleem him manifestearret yn atypyske konfiguraasjes of as d'r in lege kâns is op eksploitaasje fan 'e kwetsberens yn' e praktyk.
Yn dit gefal waard it hurdensnivo fermindere om't in detaillearre analyze fan 'e kwetsberens troch ferskate organisaasjes konkludearre dat de mooglikheid om koade út te fieren tidens eksploitaasje waard blokkearre troch meganismen foar beskerming fan stapel oerstreaming brûkt yn in protte platfoarms. Derneist resulteart de rasteryndieling dy't yn guon Linux-distribúsjes brûkt wurdt yn 'e 4 bytes dy't bûten grinzen geane wurde oerlein op' e folgjende buffer op 'e stapel, dy't noch net yn gebrûk is. It is lykwols mooglik dat d'r platfoarms binne dy't kinne wurde eksploitearre om koade út te fieren.
Identifisearre problemen:
- CVE-2022-3602 - in kwetsberens, yn earste ynstânsje presintearre as kritysk, liedt ta in 4-byte buffer oerstreaming by it kontrolearjen fan in fjild mei in spesjaal ûntwurpen e-mailadres yn in X.509 sertifikaat. Yn in TLS-kliïnt kin de kwetsberens eksploitearre wurde by it ferbinen mei in server kontrolearre troch de oanfaller. Op in TLS-tsjinner kin de kwetsberens wurde eksploitearre as client-autentikaasje mei sertifikaten wurdt brûkt. Yn dit gefal ferskynt de kwetsberens op it poadium nei ferifikaasje fan 'e ketting fan fertrouwen ferbûn mei it sertifikaat, d.w.s. De oanfal fereasket dat de sertifikaatautoriteit it kweade sertifikaat fan 'e oanfaller ferifiearret.
- CVE-2022-3786 is in oare fektor foar it eksploitearjen fan 'e CVE-2022-3602 kwetsberens, identifisearre tidens de analyze fan it probleem. De ferskillen komme del op de mooglikheid om in buffer op 'e stapel te oerrinnen troch in willekeurich oantal bytes mei de "." (d.w.s. de oanfaller kin de ynhâld fan 'e oerstream net kontrolearje en it probleem kin allinich brûkt wurde om de applikaasje te crashen).
De kwetsberens ferskine allinich yn 'e OpenSSL 3.0.x-tûke (de brek waard yntrodusearre yn' e Unicode-konverzjekoade (punycode) tafoege oan 'e 3.0.x-tûke). Releases fan OpenSSL 1.1.1, lykas de OpenSSL-gabelbiblioteken LibreSSL en BoringSSL, wurde net beynfloede troch it probleem. Tagelyk waard de update fan OpenSSL 1.1.1s frijlitten, dy't allinich net-feiligens bugfixes befettet.
De OpenSSL 3.0-tûke wurdt brûkt yn distribúsjes lykas Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing / Unstable. Brûkers fan dizze systemen wurde oanrikkemandearre om updates sa gau mooglik te ynstallearjen (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Yn SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 binne pakketten mei OpenSSL 3.0 opsjoneel beskikber, systeempakketten brûke de 1.1.1-ôfdieling. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 en FreeBSD bliuwe op 'e OpenSSL 3.16.x-tûken.
Boarne: opennet.ru