Kua whakaputaina he tuku whakatika o te whare pukapuka cryptographic OpenSSL 3.0.7, e whakatika ana i nga whakaraeraetanga e rua. Ko nga take e rua i puta mai i te waipuke o te parare i roto i te waehere whakamana mara imeera i roto i nga tiwhikete X.509 a tera pea ka arahi ki te mahi waehere i te wa e tukatuka ana i tetahi tiwhikete kua oti te hanga. I te wa o te whakaputanga o te whakatika, kaore i tuhia e nga kaiwhakawhanake OpenSSL tetahi taunakitanga o te waahi o te mahi mahi ka taea te mahi i te waehere a te kaipatu.
Ahakoa te mea ko te korero i mua i te tukunga o te tukunga hou i whakahuahia te aroaro o tetahi take tino nui, me te mea, i roto i te whakahou i tukuna ko te mana o te whakaraerae kua heke ki te taumata o te kino, engari ehara i te whakaraerae. I runga ano i nga ture i whakatauhia i roto i te kaupapa, ka whakahekehia te taumata o te raru mena ka puta te raru i roto i nga whirihoranga atypical, mena he iti te tupono o te whakaraerae i te mahi.
I tenei keehi, i whakahekehia te taumata taumaha na te mea he tātaritanga mo te whakaraeraetanga a te maha o nga whakahaere i kii ko te kaha ki te whakahaere i te waehere i te wa e whakamahia ana i aukatihia e nga taputapu whakamarumaru puhake i whakamahia i roto i nga papaaho maha. I tua atu, ko te whakatakotoranga matiti i whakamahia i roto i etahi tohatoha Linux ka puta nga paita e 4 ka puta ki waho o nga rohe ka whakakikoruatia ki runga i te parepare e whai ake nei i runga i te puranga, kaore ano kia whakamahia. Heoi ano, tera pea he waahi ka taea te whakamahi hei mahi waehere.
Nga take kua tautuhia:
- CVE-2022-3602 - he whakaraeraetanga, i te tuatahi ka whakaatuhia he mea tino nui, ka arahi ki te 4-paita puhake puhake ina tirohia tetahi mara me tetahi wahitau imeera i hangaia i roto i te tiwhikete X.509. I roto i te kiritaki TLS, ka taea te whakaraerae i te wa e hono ana ki tetahi tūmau e whakahaerehia ana e te kaipatu. I runga i te tūmau TLS, ka taea te whakaraeraetanga ki te whakamahia te motuhēhēnga o te kiritaki mā te whakamahi i ngā tiwhikete. I roto i tenei take, ka puta te whakaraeraetanga i te waahi i muri i te manatokotanga o te mekameka whakawhirinaki e hono ana ki te tiwhikete, i.e. Ko te whakaeke me manatoko e te mana tiwhikete te tiwhikete kino o te kaiwhai.
- Ko te CVE-2022-3786 tetahi atu vector mo te whakamahi i te whakaraeraetanga CVE-2022-3602, i tautuhia i te wa o te tātaritanga o te raru. Ko nga rereketanga ka paheke ki te kaha ki te puhake i te parapara i runga i te puranga ma te maha o nga paita e mau ana i te "." (arā, kaore e taea e te kaitawhai te whakahaere i nga ihirangi o te waipuke ka taea anake te whakamahi i te raruraru kia pakaru te tono).
Ko nga whakaraeraetanga ka puta anake i te peka OpenSSL 3.0.x (i whakaurua te pepeke i roto i te waehere huri Waehereao (punycode) kua taapiri atu ki te peka 3.0.x). Ko nga tukunga o OpenSSL 1.1.1, me nga whare pukapuka marau OpenSSL LibreSSL me BoringSSL, kaore e pa ki te raru. I te wa ano, i tukuna te whakahou OpenSSL 1.1.1s, kei roto anake nga whakatika pepeke kore-haumaru.
Ka whakamahia te peka OpenSSL 3.0 ki nga tohatoha penei i te Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Ka tūtohuhia nga kaiwhakamahi o enei punaha ki te whakauru wawe i nga whakahoutanga (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). I roto i te SUSE Linux Enterprise 15 SP4 me te openSUSE Leap 15.4, ko nga kohinga me te OpenSSL 3.0 kei te waatea noa, ka whakamahi nga kohinga punaha i te peka 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 me FreeBSD kei te noho tonu ki nga manga OpenSSL 3.16.x.
Source: opennet.ru