Հրապարակվել է OpenSSL կրիպտոգրաֆիկ գրադարանի 3.0.7 ուղղիչ թողարկումը, որն ուղղում է երկու խոցելիություն։ Երկու խնդիրներն էլ առաջանում են X.509 վկայագրերում էլփոստի դաշտի վավերացման կոդի բուֆերային հոսքերի պատճառով և կարող են հանգեցնել կոդի կատարման հատուկ շրջանակված վկայականը մշակելիս: Ուղղումը հրապարակելու պահին OpenSSL ծրագրավորողները չէին գրանցել աշխատանքային շահագործման առկայության որևէ ապացույց, որը կարող էր հանգեցնել հարձակվողի կոդի կատարմանը:
Չնայած այն հանգամանքին, որ նոր թողարկման նախապես թողարկվող հայտարարության մեջ նշվում էր կարևոր խնդրի առկայությունը, փաստորեն, թողարկված թարմացման մեջ խոցելիության կարգավիճակը իջեցվել է վտանգավոր, բայց ոչ կրիտիկական խոցելիության մակարդակի: Նախագծում ընդունված կանոնների համաձայն՝ վտանգի մակարդակը նվազում է, եթե խնդիրը դրսևորվում է ոչ տիպիկ կոնֆիգուրացիաներով, կամ եթե առկա է խոցելիությունը գործնականում օգտագործելու ցածր հավանականություն:
Այս դեպքում խստության մակարդակը նվազեց, քանի որ մի քանի կազմակերպությունների կողմից խոցելիության մանրամասն վերլուծությունը եզրակացրեց, որ շահագործման ընթացքում կոդ գործարկելու հնարավորությունը արգելափակված է բազմաթիվ հարթակներում օգտագործվող կույտերի արտահոսքի պաշտպանության մեխանիզմներով: Բացի այդ, որոշ Linux բաշխումներում օգտագործվող ցանցային դասավորությունը հանգեցնում է նրան, որ 4 բայթերը, որոնք դուրս են գալիս սահմաններից, տեղադրվում են հաջորդ բուֆերի վրա, որը դեռ չի օգտագործվում: Այնուամենայնիվ, հնարավոր է, որ կան հարթակներ, որոնք կարող են շահագործվել կոդը գործարկելու համար:
Հայտնաբերված խնդիրներ.
- CVE-2022-3602 - խոցելիություն, որն ի սկզբանե ներկայացվել է որպես կրիտիկական, հանգեցնում է 4 բայթանոց բուֆերի գերհոսքի՝ X.509 վկայականում հատուկ մշակված էլփոստի հասցեով դաշտը ստուգելիս: TLS հաճախորդում խոցելիությունը կարող է օգտագործվել հարձակվողի կողմից վերահսկվող սերվերին միանալիս: TLS սերվերի վրա խոցելիությունը կարող է շահագործվել, եթե օգտագործվի սերտիֆիկատների միջոցով հաճախորդի նույնականացում: Այս դեպքում խոցելիությունը հայտնվում է վկայագրի հետ կապված վստահության շղթայի ստուգումից հետո փուլում, այսինքն. Հարձակումը պահանջում է, որ սերտիֆիկատի մարմինը ստուգի հարձակվողի վնասակար վկայականը:
- CVE-2022-3786-ը CVE-2022-3602 խոցելիության շահագործման ևս մեկ վեկտոր է, որը բացահայտվել է խնդրի վերլուծության ժամանակ: Տարբերությունները հանգում են նրան, որ բուֆերը բուրգի վրա կամայական թվով բայթերով լցվելու հնարավորությամբ «»: (այսինքն՝ հարձակվողը չի կարող վերահսկել գերհոսքի բովանդակությունը, և խնդիրը կարող է օգտագործվել միայն հավելվածի խափանում առաջացնելու համար):
Խոցելիությունները հայտնվում են միայն OpenSSL 3.0.x ճյուղում (սխալը ներկայացվել է 3.0.x ճյուղին ավելացված Յունիկոդի փոխակերպման կոդում (punycode): OpenSSL 1.1.1-ի թողարկումները, ինչպես նաև OpenSSL պատառաքաղային գրադարանները LibreSSL և BoringSSL, չեն ազդում խնդրի վրա: Միաժամանակ թողարկվել է OpenSSL 1.1.1s թարմացումը, որը պարունակում է միայն ոչ անվտանգության սխալների շտկումներ։
OpenSSL 3.0 մասնաճյուղն օգտագործվում է այնպիսի բաշխումների մեջ, ինչպիսիք են Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable: Այս համակարգերի օգտատերերին խորհուրդ է տրվում հնարավորինս շուտ տեղադրել թարմացումներ (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch): SUSE Linux Enterprise 15 SP4-ում և openSUSE Leap 15.4-ում OpenSSL 3.0-ով փաթեթները հասանելի են ընտրովի, համակարգի փաթեթներն օգտագործում են 1.1.1 ճյուղը: Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 և FreeBSD-ը մնում են OpenSSL 3.16.x մասնաճյուղերում:
Source: opennet.ru