Leiðréttingarútgáfa af OpenSSL dulritunarsafninu 3.0.7 hefur verið gefin út, sem lagar tvo veikleika. Bæði vandamálin eru af völdum biðminniflæðis í löggildingarkóða tölvupóstsviðs í X.509 vottorðum og geta hugsanlega leitt til keyrslu kóða þegar unnið er með sérrammað vottorð. Þegar lagfæringin var birt höfðu OpenSSL forritararnir ekki skráð neinar vísbendingar um tilvist virka hagnýtingar sem gæti leitt til framkvæmdar kóða árásarmannsins.
Þrátt fyrir þá staðreynd að í forútgáfutilkynningunni um nýju útgáfuna var minnst á tilvist mikilvægs máls, í útgefnum uppfærslu var staðan á varnarleysinu í raun minnkað niður í hættulegt, en ekki mikilvægt varnarleysi. Í samræmi við þær reglur sem settar hafa verið í verkefninu minnkar hættustig ef vandamálið birtist í óhefðbundnum stillingum eða ef litlar líkur eru á að veikleikinn verði nýttur í reynd.
Í þessu tilviki var alvarleikastigið minnkað vegna þess að ítarleg greining nokkurra stofnana á varnarleysinu komst að þeirri niðurstöðu að hæfni til að keyra kóða meðan á hagnýtingu stóð hafi verið læst af yfirflæðisvörnum sem notuð eru á mörgum kerfum. Að auki leiðir ristskipulagið sem notað er í sumum Linux dreifingum til þess að 4 bæti sem fara út fyrir mörkin eru sett ofan á næsta biðminni á staflanum, sem er ekki enn í notkun. Hins vegar er mögulegt að það séu vettvangar sem hægt er að nýta til að keyra kóða.
Tilgreind vandamál:
- CVE-2022-3602 - veikleiki, upphaflega kynntur sem mikilvægur, leiðir til 4-bæta biðminni yfirflæðis þegar athugað er reit með sérhönnuðu netfangi í X.509 vottorði. Í TLS biðlara er hægt að nýta veikleikann þegar tengst er við netþjón sem stjórnað er af árásarmanninum. Á TLS netþjóni er hægt að nýta veikleikann ef auðkenning viðskiptavinar með vottorðum er notuð. Í þessu tilviki birtist varnarleysið á stigi eftir staðfestingu á traustskeðju sem tengist vottorðinu, þ.e. Árásin krefst þess að vottorðsyfirvaldið staðfesti illgjarn vottorð árásarmannsins.
- CVE-2022-3786 er annar vigur til að nýta CVE-2022-3602 varnarleysið, sem greindist við greiningu á vandamálinu. Munurinn snýst um möguleikann á að flæða yfir biðminni á staflanum um handahófskenndan fjölda bæta sem innihalda „. (þ.e.a.s. árásarmaðurinn getur ekki stjórnað innihaldi yfirflæðisins og vandamálið er aðeins hægt að nota til að láta forritið hrynja).
Veikleikarnir birtast aðeins í OpenSSL 3.0.x greininni (villan var kynnt í Unicode viðskiptakóðanum (punycode) sem bætt var við 3.0.x útibúið). Útgáfur af OpenSSL 1.1.1, sem og OpenSSL gaffalsöfnunum LibreSSL og BoringSSL, verða ekki fyrir áhrifum af vandamálinu. Á sama tíma var gefin út OpenSSL 1.1.1s uppfærslan sem inniheldur aðeins villuleiðréttingar sem ekki tengjast öryggismálum.
OpenSSL 3.0 útibúið er notað í dreifingu eins og Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/unstable. Notendum þessara kerfa er mælt með því að setja upp uppfærslur eins fljótt og auðið er (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Í SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 eru pakkar með OpenSSL 3.0 fáanlegir valfrjálst, kerfispakkar nota 1.1.1 útibúið. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 og FreeBSD eru áfram í OpenSSL 3.16.x útibúunum.
Heimild: opennet.ru