Keluaran pembetulan perpustakaan kriptografi OpenSSL 3.0.7 telah diterbitkan, yang membetulkan dua kelemahan. Kedua-dua isu berpunca daripada limpahan penimbal dalam kod pengesahan medan e-mel dalam sijil X.509 dan berpotensi membawa kepada pelaksanaan kod apabila memproses sijil yang dirangka khas. Pada masa penerbitan pembetulan, pembangun OpenSSL tidak merekodkan sebarang bukti kehadiran eksploitasi kerja yang boleh membawa kepada pelaksanaan kod penyerang.
Walaupun fakta bahawa pengumuman pra-keluaran keluaran baru menyebut kehadiran isu kritikal, sebenarnya, dalam kemas kini yang dikeluarkan status kelemahan telah dikurangkan ke tahap yang berbahaya, tetapi bukan kelemahan kritikal. Selaras dengan peraturan yang diterima pakai dalam projek, tahap bahaya dikurangkan jika masalah itu nyata dalam konfigurasi atipikal atau jika terdapat kebarangkalian rendah eksploitasi kelemahan dalam amalan.
Dalam kes ini, tahap keterukan telah dikurangkan kerana analisis terperinci tentang kelemahan oleh beberapa organisasi menyimpulkan bahawa keupayaan untuk melaksanakan kod semasa eksploitasi telah disekat oleh mekanisme perlindungan limpahan tindanan yang digunakan dalam banyak platform. Selain itu, susun atur grid yang digunakan dalam sesetengah pengedaran Linux menghasilkan 4 bait yang melampaui batas ditindih pada penimbal seterusnya pada tindanan, yang belum digunakan. Walau bagaimanapun, ada kemungkinan terdapat platform yang boleh dieksploitasi untuk melaksanakan kod.
Isu yang dikenal pasti:
- CVE-2022-3602 - kerentanan, pada mulanya dibentangkan sebagai kritikal, membawa kepada limpahan penimbal 4-bait apabila menyemak medan dengan alamat e-mel yang direka khas dalam sijil X.509. Dalam klien TLS, kelemahan boleh dieksploitasi apabila menyambung ke pelayan yang dikawal oleh penyerang. Pada pelayan TLS, kelemahan boleh dieksploitasi jika pengesahan pelanggan menggunakan sijil digunakan. Dalam kes ini, kelemahan muncul pada peringkat selepas pengesahan rantaian amanah yang dikaitkan dengan sijil, i.e. Serangan itu memerlukan pihak berkuasa sijil mengesahkan sijil hasad penyerang.
- CVE-2022-3786 ialah vektor lain untuk mengeksploitasi kelemahan CVE-2022-3602, yang dikenal pasti semasa analisis masalah. Perbezaannya bermuara kepada kemungkinan melimpahi penimbal pada timbunan dengan bilangan bait sewenang-wenangnya yang mengandungi "." (iaitu penyerang tidak dapat mengawal kandungan limpahan dan masalah hanya boleh digunakan untuk menyebabkan aplikasi ranap).
Kerentanan hanya muncul dalam cawangan OpenSSL 3.0.x (pepijat telah diperkenalkan dalam kod penukaran Unicode (punycode) yang ditambahkan pada cawangan 3.0.x). Keluaran OpenSSL 1.1.1, serta perpustakaan fork OpenSSL LibreSSL dan BoringSSL, tidak terjejas oleh masalah tersebut. Pada masa yang sama, kemas kini OpenSSL 1.1.1s telah dikeluarkan, yang mengandungi hanya pembetulan pepijat bukan keselamatan.
Cawangan OpenSSL 3.0 digunakan dalam pengedaran seperti Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable. Pengguna sistem ini disyorkan untuk memasang kemas kini secepat mungkin (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Dalam SUSE Linux Enterprise 15 SP4 dan openSUSE Leap 15.4, pakej dengan OpenSSL 3.0 tersedia secara pilihan, pakej sistem menggunakan cawangan 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 dan FreeBSD kekal pada cawangan OpenSSL 3.16.x.
Sumber: opennet.ru