Objavljena je zakrpa za kriptografsku biblioteku OpenSSL 3.0.7 koja ispravlja dvije ranjivosti. Oba problema uzrokovana su prelijevanjem međuspremnika u kodu za validaciju polja adrese e-pošte u X.509 certifikatima i potencijalno bi mogli dovesti do izvršavanja koda prilikom obrade posebno izrađenog certifikata. U vrijeme objavljivanja zakrpe, OpenSSL programeri nisu identificirali nikakve funkcionalne ranjivosti sposobne za izvršavanje napadačkog koda.
Iako je prethodno objavljena najava novog izdanja spominjala kritičan problem, status ranjivosti je zapravo snižen na opasnu, ali ne i kritičnu ranjivost u objavljenom ažuriranju. Prema utvrđenim smjernicama projekta, razina ozbiljnosti se smanjuje kada se problem manifestira u atipičnim konfiguracijama ili kada je vjerojatnost iskorištavanja niska.
U ovom slučaju, razina ozbiljnosti je smanjena jer je detaljna analiza ranjivosti koju je provelo nekoliko organizacija zaključila da je mogućnost izvršavanja koda tijekom iskorištavanja blokirana mehanizmima zaštite od prelijevanja stoga koji se koriste na mnogim platformama. Nadalje, mehanizam zaštite od prelijevanja stoga koji se koristi u nekim distribucijama Linux Raspored mreže uzrokuje da se 4 bajta izvan granica preklapaju sa sljedećim međuspremnikom na stogu, koji još nije u upotrebi. Međutim, moguće je da postoje platforme gdje bi se to moglo iskoristiti za izvršavanje koda.
Uočeni problemi:
- CVE-2022-3602 je ranjivost, u početku ocijenjena kao kritična, koja uzrokuje prelijevanje međuspremnika od 4 bajta prilikom provjere valjanosti posebno izrađenog polja adrese e-pošte u X.509 certifikatu. U TLS klijentu, ranjivost se može iskoristiti prilikom povezivanja s poslužitelja, kojim upravlja napadač. Na TLS poslužitelju, ranjivost se može iskoristiti ako je omogućena autentifikacija klijenta pomoću certifikata. Ranjivost se manifestira nakon što je provjeren lanac povjerenja povezan s certifikatom, što znači da napad zahtijeva da tijelo za izdavanje certifikata potvrdi zlonamjerni certifikat napadača.
- CVE-2022-3786 je drugačiji vektor iskorištavanja za ranjivost CVE-2022-3602, otkrivenu tijekom istrage. Razlike se svode na mogućnost prelijevanja međuspremnika na temelju stoga s proizvoljnim brojem bajtova koji sadrže znak "." (tj. napadač ne može kontrolirati sadržaj prelijevanja, a ranjivost se može iskoristiti samo za izazivanje rušenja aplikacije).
Ranjivosti utječu samo na granu OpenSSL 3.0.x (greška se pojavila u kodu za pretvorbu Unicode-a (punycode), dodanom grani 3.0.x). Izdanja OpenSSL 1.1.1, kao i biblioteke LibreSSL i BoringSSL odvojene od OpenSSL-a, nisu pogođene. Objavljeno je paralelno ažuriranje, OpenSSL 1.1.1s, koje sadrži samo ispravke grešaka koje nisu povezane sa sigurnošću.
OpenSSL 3.0 grana se koristi u distribucijama kao što su Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testiranje/Nestabilno. Korisnicima ovih sustava savjetuje se da što prije instaliraju ažuriranja (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). U SUSE-u Linux Paketi Enterprise 15 SP4 i openSUSE Leap 15.4 s OpenSSL 3.0 dostupni su opcionalno, sistemski paketi koriste granu 1.1.1. Grane OpenSSL 1.x ostaju. Debian 11, Luk Linux, Praznina Linux, Ubuntu 20.04. travnja, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 i FreeBSD.
Izvor: opennet.ru
