Rilis korektif perpustakaan kriptografi OpenSSL 3.0.7 telah diterbitkan, yang memperbaiki dua kerentanan. Kedua masalah tersebut disebabkan oleh buffer overflow dalam kode validasi bidang email di sertifikat X.509 dan berpotensi menyebabkan eksekusi kode saat memproses sertifikat yang dibingkai secara khusus. Pada saat perbaikan dipublikasikan, pengembang OpenSSL belum mencatat bukti apa pun tentang adanya eksploitasi yang berfungsi yang dapat menyebabkan eksekusi kode penyerang.
Meskipun pengumuman pra-rilis dari rilis baru menyebutkan adanya masalah kritis, pada kenyataannya, dalam pembaruan yang dirilis, status kerentanan diturunkan ke tingkat kerentanan berbahaya, tetapi tidak kritis. Sesuai dengan aturan yang diterapkan dalam proyek, tingkat bahaya berkurang jika masalah muncul dalam konfigurasi yang tidak lazim atau jika kecil kemungkinan eksploitasi kerentanan dalam praktiknya.
Dalam kasus ini, tingkat keparahannya diturunkan karena analisis mendetail terhadap kerentanan oleh beberapa organisasi menyimpulkan bahwa kemampuan untuk mengeksekusi kode selama eksploitasi diblokir oleh mekanisme perlindungan stack overflow yang digunakan di banyak platform. Selain itu, mekanisme perlindungan stack overflow yang digunakan di beberapa distribusi Linux Tata letak grid menyebabkan 4 byte di luar batas tumpang tindih dengan buffer berikutnya di tumpukan, yang belum digunakan. Namun, ada kemungkinan bahwa ada platform di mana hal ini dapat dieksploitasi untuk mengeksekusi kode.
Masalah yang teridentifikasi:
- CVE-2022-3602 adalah kerentanan, yang awalnya dinilai kritis, yang menyebabkan buffer overflow 4-byte saat memvalidasi bidang alamat email yang dibuat khusus dalam sertifikat X.509. Pada klien TLS, kerentanan ini dapat dieksploitasi saat terhubung ke server, dikendalikan oleh penyerang. Pada server TLS, kerentanan dapat dieksploitasi jika autentikasi klien diaktifkan menggunakan sertifikat. Kerentanan ini muncul setelah rantai kepercayaan terkait sertifikat diverifikasi, yang berarti serangan tersebut membutuhkan otoritas sertifikasi untuk memvalidasi sertifikat berbahaya milik penyerang.
- CVE-2022-3786 adalah vektor lain untuk mengeksploitasi kerentanan CVE-2022-3602, yang diidentifikasi selama analisis masalah. Perbedaannya terletak pada kemungkinan meluapnya buffer pada tumpukan dengan sejumlah byte yang berisi “.” (yaitu penyerang tidak dapat mengontrol isi luapan dan masalah hanya dapat digunakan untuk menyebabkan aplikasi mogok).
Kerentanan hanya muncul di cabang OpenSSL 3.0.x (bug muncul di kode konversi Unicode (punycode) yang ditambahkan ke cabang 3.0.x). Rilis OpenSSL 1.1.1, serta pustaka fork OpenSSL LibreSSL dan BoringSSL, tidak terpengaruh oleh masalah ini. Pada saat yang sama, pembaruan OpenSSL 1.1.1s dirilis, yang hanya berisi perbaikan bug non-keamanan.
Cabang OpenSSL 3.0 digunakan dalam distribusi seperti Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Pengujian/Tidak Stabil. Pengguna sistem ini disarankan untuk menginstal pembaruan sesegera mungkin (Debian, Ubuntu(RHEL, SUSE/openSUSE, Fedora, Arch). Di SUSE Linux Paket Enterprise 15 SP4 dan openSUSE Leap 15.4 dengan OpenSSL 3.0 tersedia secara opsional, paket sistem menggunakan cabang 1.1.1. Cabang OpenSSL 1.x tetap tersedia. Debian 11 April, Arch Linux, Ruang kosong Linux, Ubuntu 20.04 April, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 dan FreeBSD.
Sumber: opennet.ru
