Chaidh foillseachadh ceartachaidh de leabharlann criptografach OpenSSL 3.0.7 fhoillseachadh, a tha a’ rèiteachadh dà chugallachd. Tha an dà chùis air adhbhrachadh le tar-shruthan bufair anns a’ chòd dearbhaidh raon post-d ann an teisteanasan X.509 agus dh’ fhaodadh iad leantainn gu coileanadh còd nuair a thathar a’ giullachd teisteanais le frèam sònraichte. Aig àm foillseachaidh an rèiteachaidh, cha robh an luchd-leasachaidh OpenSSL air fianais sam bith a chlàradh gu robh brath obrach ann a dh’ fhaodadh leantainn gu cur an gnìomh còd an neach-ionnsaigh.
A dh’ aindeoin gun tug an naidheachd ro-naidheachd mun fhoillseachadh ùr iomradh air làthaireachd cùis èiginneach, gu dearbh, anns an ùrachadh a chaidh fhoillseachadh chaidh inbhe an so-leòntachd a lughdachadh gu ìre so-leòntachd cunnartach, ach chan e èiginneach. A rèir nan riaghailtean ris an deach gabhail sa phròiseact, tha an ìre de chunnart air a lughdachadh ma nochdas an duilgheadas ann an rèiteachaidhean neo-àbhaisteach no ma tha coltas ann gun tèid an so-leòntachd a chleachdadh ann an cleachdadh.
Anns a’ chùis seo, chaidh an ìre dìth a lughdachadh leis gun do cho-dhùin mion-sgrùdadh mionaideach air so-leòntachd le grunn bhuidhnean gun robh an comas còd a chuir an gnìomh aig àm brathaidh air a bhacadh le uidheamachdan dìon thar-shruth cruachan a chaidh a chleachdadh ann an iomadh àrd-ùrlar. A bharrachd air an sin, tha an cruth clèithe a thathar a’ cleachdadh ann an cuid de sgaoilidhean Linux a’ ciallachadh gu bheil na 4 bytes a tha a’ dol a-mach à crìochan air an cuir thairis air an ath bufair air a’ chruach, nach eilear ga chleachdadh fhathast. Ach, tha e comasach gu bheil àrd-ùrlaran ann a ghabhas cleachdadh gus còd a chuir an gnìomh.
Cùisean air an comharrachadh:
- CVE-2022-3602 - tha so-leòntachd, air a thaisbeanadh an toiseach mar rud èiginneach, a’ leantainn gu tar-shruth bufair 4-byte nuair a thathar a’ sgrùdadh raon le seòladh puist-d air a dhealbhadh gu sònraichte ann an teisteanas X.509. Ann an teachdaiche TLS, faodar brath a ghabhail air an so-leòntachd nuair a cheanglas tu ri frithealaiche fo smachd an neach-ionnsaigh. Air frithealaiche TLS, faodar brath a ghabhail air an so-leòntachd ma thèid dearbhadh teachdaiche a’ cleachdadh theisteanasan a chleachdadh. Anns a ’chùis seo, tha an so-leòntachd a’ nochdadh aig an ìre às deidh dearbhadh air an t-sreath earbsa co-cheangailte ris an teisteanas, i.e. Feumaidh an ionnsaigh gun toir an t-ùghdarras teisteanais dearbhadh air teisteanas droch-rùnach an neach-ionnsaigh.
- Tha CVE-2022-3786 na vectar eile airson a bhith a’ gabhail brath air so-leòntachd CVE-2022-3602, a chaidh a chomharrachadh rè mion-sgrùdadh air an duilgheadas. Bidh na h-eadar-dhealachaidhean a’ tighinn sìos chun chomas a bhith a’ cur thairis air bufair air a’ chruach le àireamh neo-riaghailteach de bytes anns a bheil an “.” (ie chan urrainn don neach-ionnsaigh smachd a chumail air susbaint an t-sruth-thairis agus chan urrainnear an duilgheadas a chleachdadh ach gus an aplacaid tuiteam).
Chan eil na so-leòntachd a’ nochdadh ach anns a’ mheur OpenSSL 3.0.x (chaidh am biast a thoirt a-steach ann an còd tionndaidh Unicode (punycode) air a chur ris a’ mheur 3.0.x). Chan eil an duilgheadas a’ toirt buaidh air sgaoilidhean OpenSSL 1.1.1, a bharrachd air leabharlannan forc OpenSSL LibreSSL agus BoringSSL. Aig an aon àm, chaidh an ùrachadh OpenSSL 1.1.1s a leigeil ma sgaoil, anns nach eil ach rèiteachadh bug neo-tèarainteachd.
Tha am meur OpenSSL 3.0 air a chleachdadh ann an sgaoilidhean leithid Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing / Unstable. Thathas a’ moladh do luchd-cleachdaidh nan siostaman sin ùrachaidhean a chuir a-steach cho luath ‘s a ghabhas (Debian, Ubuntu, RHEL, SUSE / openSUSE, Fedora, Arch). Ann an SUSE Linux Enterprise 15 SP4 agus openSUSE Leap 15.4, tha pasganan le OpenSSL 3.0 rim faighinn gu roghnach, bidh pasganan siostam a’ cleachdadh meur 1.1.1. Tha Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 agus FreeBSD fhathast air na meuran OpenSSL 3.16.x.
Source: fosgailtenet.ru