Ua paʻi ʻia kahi hoʻokuʻu hoʻoponopono o ka OpenSSL cryptographic library 3.0.7, kahi e hoʻoponopono ai i ʻelua mau nāwaliwali. Hoʻokumu ʻia nā pilikia ʻelua ma muli o ke kahe ʻana o ka buffer i ka helu hōʻoia kahua leka uila i nā palapala hōʻoia X.509 a hiki ke alakaʻi i ka hoʻokō code i ka wā e hoʻoponopono ai i kahi palapala i kālai ʻia. I ka manawa o ka hoʻolaha ʻana o ka hoʻoponopono, ʻaʻole i hoʻopaʻa ʻia nā mea hoʻomohala OpenSSL i kahi hōʻike o ka hele ʻana o kahi hana hana e hiki ai ke alakaʻi i ka hoʻokō ʻana i ke code a ka mea hoʻouka.
ʻOiaiʻo ka hoʻolaha mua o ka hoʻokuʻu houʻana i'ōleloʻia i ke kūʻana o kahi pilikia koʻikoʻi,ʻoiaʻiʻo, i ka hoʻopuka houʻiaʻana ua hoʻemiʻia ke kūlana o ka pilikia i ke kūlana o kahi pōʻino, akā,ʻaʻole pilikia. E like me nā lula i hoʻopaʻa ʻia i ka papahana, hoʻemi ʻia ke kiʻekiʻe o ka pōʻino inā hōʻike ka pilikia iā ia iho i nā hoʻonohonoho atypical a i ʻole he haʻahaʻa haʻahaʻa o ka hoʻohana ʻana i ka nāwaliwali i ka hana.
I kēia hihia, ua hoʻemi ʻia ka pae koʻikoʻi ma muli o ka loiloi kikoʻī o ka nāwaliwali e kekahi mau hui i hoʻoholo i ka hiki ke hoʻokō i nā code i ka wā o ka hoʻohana ʻana ua kāohi ʻia e nā mīkini pale overflow i hoʻohana ʻia i nā kahua he nui. Eia kekahi, ʻo ka hoʻolālā grid i hoʻohana ʻia i kekahi mau māhele Linux e loaʻa i nā 4 bytes e hele i waho o nā palena i hoʻopaʻa ʻia ma luna o ka buffer aʻe ma ka waihona, ʻaʻole i hoʻohana ʻia. Eia nō naʻe, hiki ke loaʻa nā paepae i hiki ke hoʻohana ʻia e hoʻokō i ke code.
Nā pilikia i ʻike ʻia:
- CVE-2022-3602 - he vulnerability, i hōʻike mua ʻia ma ke ʻano koʻikoʻi, alakaʻi i kahi 4-byte buffer overflow ke nānā ʻana i kahi kahua me kahi leka uila i hoʻolālā kūikawā ʻia ma kahi palapala X.509. Ma kahi mea kūʻai TLS, hiki ke hoʻohana ʻia ka nāwaliwali i ka wā e hoʻopili ai i kahi kikowaena i hoʻomalu ʻia e ka mea hoʻouka. Ma kahi kikowaena TLS, hiki ke hoʻohana ʻia ka nāwaliwali inā hoʻohana ʻia ka hōʻoia o ka mea kūʻai aku me ka hoʻohana ʻana i nā palapala hōʻoia. I kēia hihia, ʻike ʻia ka nāwaliwali ma ke kahua ma hope o ka hōʻoia ʻana o ke kaulahao hilinaʻi e pili ana i ka palapala hōʻoia, ʻo ia. Pono ka hoʻouka ʻana e hōʻoia ka mana palapala hōʻoia i ka palapala hōʻoia ʻino o ka mea hoʻouka.
- ʻO CVE-2022-3786 kekahi vector no ka hoʻohana ʻana i ka nāwaliwali o CVE-2022-3602, i ʻike ʻia i ka wā o ka nānā ʻana i ka pilikia. Hiki i nā ʻokoʻa ke hiki ke hoʻomāhaʻihaʻi i kahi paʻi ma ka hoʻopaʻa ʻana e kahi helu ʻokoʻa o nā bytes i loaʻa ka "." (ʻo ia hoʻi, ʻaʻole hiki i ka mea hoʻouka ke hoʻomalu i nā ʻike o ka overflow a hiki ke hoʻohana wale ʻia ka pilikia i mea e hāʻule ai ka noi).
Hōʻike wale ʻia nā nāwaliwali ma ka lālā OpenSSL 3.0.x (ua hoʻokomo ʻia ka bug ma ka code hoʻololi Unicode (punycode) i hoʻohui ʻia i ka lālā 3.0.x). Hoʻokuʻu ʻia o OpenSSL 1.1.1, a me nā hale waihona puke OpenSSL fork LibreSSL a me BoringSSL, ʻaʻole pili i ka pilikia. I ka manawa like, ua hoʻokuʻu ʻia ka OpenSSL 1.1.1s update, kahi i loaʻa ai nā hoʻoponopono bug pono ʻole.
Hoʻohana ʻia ka lālā OpenSSL 3.0 i nā māhele e like me Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Manaʻo ʻia nā mea hoʻohana o kēia mau ʻōnaehana e hoʻokomo i nā mea hou i ka hiki (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Ma SUSE Linux Enterprise 15 SP4 a me openSUSE Leap 15.4, loaʻa nā pūʻolo me OpenSSL 3.0 ma ke koho koho, hoʻohana nā pūʻulu ʻōnaehana i ka lālā 1.1.1. Noho ʻo Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 a me FreeBSD ma nā lālā OpenSSL 3.16.x.
Source: opennet.ru