Objavljeno je korektivno izdanje OpenSSL kriptografske knjižnice 3.0.7, koje ispravlja dvije ranjivosti. Oba su problema uzrokovana prekoračenjem međuspremnika u kodu za provjeru valjanosti polja e-pošte u X.509 certifikatima i potencijalno mogu dovesti do izvršavanja koda prilikom obrade posebno uokvirenog certifikata. U vrijeme objave popravka, programeri OpenSSL-a nisu zabilježili nikakve dokaze o prisutnosti radnog exploita koji bi mogao dovesti do izvršenja napadačevog koda.
Unatoč činjenici da je najava prije izdanja novog izdanja spomenula prisutnost kritičnog problema, zapravo je u objavljenom ažuriranju status ranjivosti smanjen na razinu opasne, ali ne i kritične ranjivosti. U skladu s pravilima usvojenim u projektu, razina opasnosti se smanjuje ako se problem manifestira u netipičnim konfiguracijama ili ako postoji mala vjerojatnost iskorištavanja ranjivosti u praksi.
U ovom slučaju, razina ozbiljnosti je smanjena jer je detaljna analiza ranjivosti koju je provelo nekoliko organizacija zaključila da je mogućnost izvršavanja koda tijekom eksploatacije blokirana mehanizmima zaštite od prekoračenja stogova koji se koriste na mnogim platformama. Osim toga, raspored mreže koji se koristi u nekim distribucijama Linuxa rezultira time da se 4 bajta koja izlaze izvan granica nadmeću na sljedeći međuspremnik na stogu, koji još nije u upotrebi. Međutim, moguće je da postoje platforme koje se mogu iskoristiti za izvršavanje koda.
Uočeni problemi:
- CVE-2022-3602 - ranjivost, u početku predstavljena kao kritična, dovodi do prekoračenja međuspremnika od 4 bajta prilikom provjere polja s posebno dizajniranom adresom e-pošte u X.509 certifikatu. U TLS klijentu, ranjivost se može iskoristiti pri povezivanju s poslužiteljem koji kontrolira napadač. Na TLS poslužitelju, ranjivost se može iskoristiti ako se koristi provjera autentičnosti klijenta pomoću certifikata. U ovom slučaju, ranjivost se pojavljuje u fazi nakon provjere lanca povjerenja povezanog s certifikatom, tj. Napad zahtijeva da tijelo za izdavanje certifikata provjeri zlonamjerni certifikat napadača.
- CVE-2022-3786 je još jedan vektor za iskorištavanje ranjivosti CVE-2022-3602, identificirane tijekom analize problema. Razlike se svode na mogućnost prepunjavanja međuspremnika na stogu proizvoljnim brojem bajtova koji sadrže "." (tj. napadač ne može kontrolirati sadržaj preljeva i problem se može upotrijebiti samo da izazove rušenje aplikacije).
Ranjivosti se pojavljuju samo u grani OpenSSL 3.0.x (greška je uvedena u kodu za konverziju Unicode (punycode) dodanom grani 3.0.x). Problem ne utječe na izdanja OpenSSL-a 1.1.1, kao ni na OpenSSL fork biblioteke LibreSSL i BoringSSL. U isto vrijeme objavljeno je ažuriranje OpenSSL 1.1.1s koje sadrži samo popravke grešaka koje nisu povezane sa sigurnošću.
Grana OpenSSL 3.0 koristi se u distribucijama kao što su Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Korisnicima ovih sustava preporučuje se da što prije instaliraju nadogradnje (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). U SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, paketi s OpenSSL 3.0 dostupni su izborno, sistemski paketi koriste granu 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 i FreeBSD ostaju na granama OpenSSL 3.16.x.
Izvor: opennet.ru