Rilis korektif saka perpustakaan kriptografi OpenSSL 3.0.7 wis diterbitake, sing ndandani rong kerentanan. Loro-lorone masalah disebabake buffer overflows ing kode validasi lapangan email ing sertifikat X.509 lan bisa nyebabake eksekusi kode nalika ngolah sertifikat sing dipigura khusus. Nalika nerbitake perbaikan kasebut, pangembang OpenSSL durung nyathet bukti anane eksploitasi kerja sing bisa nyebabake eksekusi kode penyerang.
Senadyan kasunyatan sing woro-woro pre-release saka release anyar kasebut ana masalah kritis, nyatane, ing nganyari dirilis status kerentanan wis suda kanggo tingkat mbebayani, nanging ora kritis kerentanan. Sesuai karo aturan sing diadopsi ing proyek kasebut, tingkat bebaya dikurangi yen masalah kasebut katon ing konfigurasi atipikal utawa yen ana kemungkinan eksploitasi kerentanan ing praktik.
Ing kasus iki, tingkat keruwetan dikurangi amarga analisa rinci babagan kerentanan dening sawetara organisasi nyimpulake yen kemampuan kanggo nglakokake kode sajrone eksploitasi diblokir dening mekanisme perlindungan overflow tumpukan sing digunakake ing akeh platform. Kajaba iku, tata letak kothak sing digunakake ing sawetara distribusi Linux ngasilake bita 4 sing metu saka wates sing ditumpangake ing buffer sabanjure ing tumpukan, sing durung digunakake. Nanging, bisa uga ana platform sing bisa dimanfaatake kanggo ngeksekusi kode.
Masalah sing diidentifikasi:
- CVE-2022-3602 - kerentanan, wiwitane dituduhake minangka kritis, ndadΓ©kakΓ© kebanjiran buffer 4-bait nalika mriksa lapangan kanthi alamat email sing dirancang khusus ing sertifikat X.509. Ing klien TLS, kerentanan bisa dimanfaatake nalika nyambung menyang server sing dikontrol dening panyerang. Ing server TLS, kerentanan bisa dimanfaatake yen otentikasi klien nggunakake sertifikat digunakake. Ing kasus iki, kerentanan katon ing panggung sawise verifikasi rantai kepercayaan sing ana gandhengane karo sertifikat, yaiku. Serangan kasebut mbutuhake panguwasa sertifikat verifikasi sertifikat jahat saka panyerang.
- CVE-2022-3786 minangka vektor liyane kanggo ngeksploitasi kerentanan CVE-2022-3602, sing diidentifikasi sajrone analisis masalah kasebut. Bentenipun bosok mudhun kanggo kamungkinan overflowing buffer ing tumpukan dening nomer arbitrary bita ngemot "." (yaiku panyerang ora bisa ngontrol isi kebanjiran lan masalah mung bisa digunakake kanggo nyebabake aplikasi kasebut kacilakan).
Kerentanan mung katon ing cabang OpenSSL 3.0.x (bug kasebut dikenalake ing kode konversi Unicode (punycode) sing ditambahake ing cabang 3.0.x). Rilis OpenSSL 1.1.1, uga perpustakaan garpu OpenSSL LibreSSL lan BoringSSL, ora kena pengaruh masalah kasebut. Ing wektu sing padha, nganyari OpenSSL 1.1.1s dirilis, sing mung ngemot koreksi bug non-keamanan.
Cabang OpenSSL 3.0 digunakake ing distribusi kayata Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββDebian Testing/Unstable. Pangguna sistem kasebut dianjurake kanggo nginstal nganyari sanalika bisa (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Ing SUSE Linux Enterprise 15 SP4 lan openSUSE Leap 15.4, paket karo OpenSSL 3.0 kasedhiya opsional, paket sistem nggunakake cabang 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 lan FreeBSD tetep ing cabang OpenSSL 3.16.x.
Source: opennet.ru