A fost publicată o versiune corectivă a bibliotecii criptografice OpenSSL 3.0.7, care remediază două vulnerabilități. Ambele probleme sunt cauzate de depășirile de buffer în codul de validare a câmpului de e-mail din certificatele X.509 și pot duce la executarea codului atunci când se procesează un certificat special încadrat. La momentul publicării remedierii, dezvoltatorii OpenSSL nu înregistraseră nicio dovadă a prezenței unui exploit de lucru care ar putea duce la executarea codului atacatorului.
În ciuda faptului că anunțul pre-lansare al noii versiuni a menționat prezența unei probleme critice, de fapt, în actualizarea lansată, starea vulnerabilității a fost redusă la nivelul unei vulnerabilități periculoase, dar nu critice. În conformitate cu regulile adoptate în proiect, nivelul de pericol este redus dacă problema se manifestă în configurații atipice sau dacă există o probabilitate scăzută de exploatare a vulnerabilității în practică.
În acest caz, nivelul de severitate a fost redus deoarece o analiză detaliată a vulnerabilității de către mai multe organizații a concluzionat că capacitatea de a executa cod în timpul exploatării a fost blocată de mecanismele de protecție la supraîncărcare a stivei utilizate în multe platforme. În plus, aspectul grilei folosit în unele distribuții Linux are ca rezultat suprapunerea celor 4 octeți care ies din limite pe următorul buffer de pe stivă, care nu este încă utilizat. Cu toate acestea, este posibil să existe platforme care pot fi exploatate pentru a executa cod.
Probleme identificate:
- CVE-2022-3602 - o vulnerabilitate, prezentată inițial ca critică, duce la o depășire a memoriei tampon de 4 octeți la verificarea unui câmp cu o adresă de e-mail special concepută într-un certificat X.509. Într-un client TLS, vulnerabilitatea poate fi exploatată la conectarea la un server controlat de atacator. Pe un server TLS, vulnerabilitatea poate fi exploatată dacă se utilizează autentificarea clientului folosind certificate. În acest caz, vulnerabilitatea apare în etapa de după verificarea lanțului de încredere asociat certificatului, adică. Atacul necesită ca autoritatea de certificare să verifice certificatul rău intenționat al atacatorului.
- CVE-2022-3786 este un alt vector de exploatare a vulnerabilității CVE-2022-3602, identificat în timpul analizei problemei. Diferențele se reduc la posibilitatea de a depăși un buffer pe stivă cu un număr arbitrar de octeți care conțin „.” (adică atacatorul nu poate controla conținutul overflow-ului și problema poate fi folosită doar pentru a provoca blocarea aplicației).
Vulnerabilitățile apar doar în ramura OpenSSL 3.0.x (bunul a fost introdus în codul de conversie Unicode (punycode) adăugat la ramura 3.0.x). Versiunile OpenSSL 1.1.1, precum și bibliotecile de furcă OpenSSL LibreSSL și BoringSSL, nu sunt afectate de problemă. În același timp, a fost lansată actualizarea OpenSSL 1.1.1s, care conține doar remedieri de erori non-securitate.
Ramura OpenSSL 3.0 este utilizată în distribuții precum Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Utilizatorilor acestor sisteme li se recomandă să instaleze actualizări cât mai curând posibil (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). În SUSE Linux Enterprise 15 SP4 și openSUSE Leap 15.4, pachetele cu OpenSSL 3.0 sunt disponibile opțional, pachetele de sistem folosesc ramura 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 și FreeBSD rămân pe ramurile OpenSSL 3.16.x.
Sursa: opennet.ru