En korrigerende utgivelse av OpenSSL kryptografisk bibliotek 3.0.7 har blitt publisert, som fikser to sårbarheter. Begge problemene er forårsaket av bufferoverløp i e-postfeltets valideringskode i X.509-sertifikater og kan potensielt føre til kodekjøring ved behandling av et spesielt innrammet sertifikat. På tidspunktet for publisering av rettelsen hadde OpenSSL-utviklerne ikke registrert noen bevis på tilstedeværelsen av en fungerende utnyttelse som kunne føre til utførelse av angriperens kode.
Til tross for at kunngjøringen før utgivelsen av den nye utgivelsen nevnte tilstedeværelsen av et kritisk problem, ble statusen til sårbarheten faktisk redusert i den utgitte oppdateringen til nivået av en farlig, men ikke kritisk sårbarhet. I henhold til reglene som er vedtatt i prosjektet, reduseres farenivået dersom problemet viser seg i atypiske konfigurasjoner eller dersom det i praksis er lav sannsynlighet for utnyttelse av sårbarheten.
I dette tilfellet ble alvorlighetsgraden redusert fordi en detaljert analyse av sårbarheten av flere organisasjoner konkluderte med at muligheten til å kjøre kode under utnyttelse ble blokkert av stabeloverløpsbeskyttelsesmekanismer brukt på mange plattformer. I tillegg resulterer rutenettoppsettet som brukes i noen Linux-distribusjoner i at de 4 bytene som går utenfor grensene blir lagt over neste buffer på stabelen, som ennå ikke er i bruk. Det er imidlertid mulig at det finnes plattformer som kan utnyttes til å kjøre kode.
Problemer identifisert:
- CVE-2022-3602 – en sårbarhet, først presentert som kritisk, fører til en 4-byte bufferoverflyt når du sjekker et felt med en spesialdesignet e-postadresse i et X.509-sertifikat. I en TLS-klient kan sårbarheten utnyttes ved tilkobling til en server kontrollert av angriperen. På en TLS-server kan sårbarheten utnyttes hvis klientautentisering ved hjelp av sertifikater brukes. I dette tilfellet vises sårbarheten på stadiet etter verifisering av tillitskjeden knyttet til sertifikatet, dvs. Angrepet krever at sertifiseringsmyndigheten bekrefter det skadelige sertifikatet til angriperen.
- CVE-2022-3786 er en annen vektor for å utnytte CVE-2022-3602-sårbarheten, identifisert under analysen av problemet. Forskjellene koker ned til muligheten for å overfylle en buffer på stabelen med et vilkårlig antall byte som inneholder "." (dvs. angriperen kan ikke kontrollere innholdet i overløpet, og problemet kan bare brukes til å få applikasjonen til å krasje).
Sårbarhetene vises kun i OpenSSL 3.0.x-grenen (feilen ble introdusert i Unicode-konverteringskoden (punycode) lagt til 3.0.x-grenen). Utgivelser av OpenSSL 1.1.1, så vel som OpenSSL gaffelbibliotekene LibreSSL og BoringSSL, påvirkes ikke av problemet. Samtidig ble OpenSSL 1.1.1s-oppdateringen utgitt, som kun inneholder feilrettinger som ikke er sikkerhetsmessige.
OpenSSL 3.0-grenen brukes i distribusjoner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Brukere av disse systemene anbefales å installere oppdateringer så snart som mulig (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 er pakker med OpenSSL 3.0 tilgjengelige valgfritt, systempakker bruker 1.1.1-grenen. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 og FreeBSD forblir på OpenSSL 3.16.x-grenene.
Kilde: opennet.ru