Emendatio emissio bibliothecae cryptographicae OpenSSL 3.0.7 divulgata est, quae duos vulnerabilitates constituit. Ambae quaestiones causantur per quiddam redundat in codice sanationis electronicae in X.509 libellorum et in potentia ad supplicium ducere potest cum libellum speciali effictum dispensando. In tempore publicationis fixi, tincidunt OpenSSL nullum testimonium praesentiae operis operantis non memoraverat quae ad exsecutionem codicis oppugnatoris ducere posset.
Non obstante quod prae-nuntiatio novae emissionis de praesentia quaestionis criticae commemoratur, re vera in dimissi status vulnerabilitatis in ambitu periculosus, sed non in discrimine vulnerabilitas redactus est. Iuxta regulas in incepto assumptas, periculum reducitur, si quaestio se manifestat in conformationibus atypicis vel si humilis probabilitas est abusionis vulnerabilitatis in praxi.
Hoc in casu, gradus gravitatis imminutus est quia accurata analysis vulnerabilitatis a pluribus societatibus facta conclusit facultatem exsequendi codicem durante exploitatione impediri a mechanismis tutelae contra redundantiam acervi, quae in multis suggestis adhibentur. Praeterea, mechanismus tutelae contra redundantiam acervi, qui in quibusdam distributionibus adhibetur,... Linux Dispositio in forma craticulae efficit ut quattuor octeti extra limites proximam memoriam tamponem in acervo, quae nondum in usu est, tegant. Tamen fieri potest ut exstent suggestus ubi hoc ad codicem exsequendum adhiberi possit.
Exitus identified:
- CVE-2022-3602 est vulnerabilitas, initio ut critica aestimata, quae redundantiam 4-byte buffer efficit cum campum inscriptionis electronicae specialiter fabricatum in certificato X.509 validatur. In cliente TLS, vulnerabilitas exploitari potest cum connectitur ad... server, ab aggressore moderata. In servo TLS, vulnerabilitas expugnari potest si authenticatio clientium per certificata activatur. Vulnerabilitas se manifestat postquam catena fiduciae certificatorum relata verificata est, quod significat impetum auctoritatem certificationis requirere ut certificatum malitiosum aggressoris validet.
- CVE-2022-3786 alius vector est ad vulnerabilitatem abutendi CVE-2022-3602, quae in analysi problematum notatur. Differentiae coquunt ad facultatem redundandi quiddam in acervo per arbitrarium numerum bytes continentium "". (i.e. oppugnator contenta redundantiae regere non potest et quaestio nonnisi adhibita est causa applicationis ad ruinam).
Vulnerationes tantum apparent in OpenSSL 3.0.x ramo (cimex in conversionis Unicode introductus (punycode) ad 3.0.x ramo additus est). Dimissiones de OpenSSL 1.1.1, sicut et bibliothecas LibreSSL et BoringSSL in OpenSSL furca, problema non afficiuntur. Eodem tempore, in OpenSSL 1.1.1s renovatio dimissa est, quae tantum cimex fixarum securitatis non continet.
Ramus OpenSSL 3.0 in distributionibus ut puta adhibetur Ubuntu 22.04, CentOS Flumen 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Probatio/Instabilitas. Usoribus horum systematum suadetur ut quam primum renovationes instituant (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). In SUSE. Linux Fasciculi Enterprise 15 SP4 et openSUSE Leap 15.4 cum OpenSSL 3.0 ad libitum praesto sunt, fasciculi systematis ramum 1.1.1 utuntur. Rami OpenSSL 1.x manent. Debian 11, Arch. Linux, Vacuum Linux, Ubuntu XX Aprilis, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpinus Linux 3.16 et FreeBSD.
Source: opennet.ru
