Bolo zverejnené opravné vydanie kryptografickej knižnice OpenSSL 3.0.7, ktorá opravuje dve zraniteľnosti. Oba problémy sú spôsobené pretečením vyrovnávacej pamäte v overovacom kóde poľa e-mailu v certifikátoch X.509 a môžu potenciálne viesť k spusteniu kódu pri spracovaní špeciálne zostaveného certifikátu. V čase zverejnenia opravy vývojári OpenSSL nezaznamenali žiadne dôkazy o prítomnosti funkčného exploitu, ktorý by mohol viesť k spusteniu kódu útočníka.
Napriek tomu, že v oznámení pred vydaním nového vydania sa spomínala prítomnosť kritického problému, v skutočnosti sa vo vydanej aktualizácii stav zraniteľnosti znížil na úroveň nebezpečnej, ale nie kritickej zraniteľnosti. V súlade s pravidlami prijatými v projekte sa miera nebezpečenstva znižuje, ak sa problém prejaví v atypických konfiguráciách alebo ak je nízka pravdepodobnosť zneužitia zraniteľnosti v praxi.
V tomto prípade bola úroveň závažnosti znížená, pretože podrobná analýza zraniteľnosti vykonaná niekoľkými organizáciami dospela k záveru, že schopnosť spustiť kód počas zneužitia bola zablokovaná ochrannými mechanizmami pretečenia zásobníka používanými na mnohých platformách. Okrem toho rozloženie mriežky používané v niektorých distribúciách Linuxu vedie k tomu, že 4 bajty, ktoré prekročia hranice, sa prekryjú do ďalšej vyrovnávacej pamäte v zásobníku, ktorá sa ešte nepoužíva. Je však možné, že existujú platformy, ktoré sa dajú zneužiť na spustenie kódu.
Identifikované problémy:
- CVE-2022-3602 – zraniteľnosť, pôvodne prezentovaná ako kritická, vedie k pretečeniu 4-bajtovej vyrovnávacej pamäte pri kontrole poľa so špeciálne navrhnutou e-mailovou adresou v certifikáte X.509. V klientovi TLS možno túto zraniteľnosť zneužiť pri pripájaní k serveru kontrolovanému útočníkom. Na serveri TLS možno túto zraniteľnosť zneužiť, ak sa použije overenie klienta pomocou certifikátov. V tomto prípade sa zraniteľnosť objavuje vo fáze po overení reťazca dôvery spojeného s certifikátom, t.j. Útok vyžaduje, aby certifikačná autorita overila škodlivý certifikát útočníka.
- CVE-2022-3786 je ďalším vektorom na využitie zraniteľnosti CVE-2022-3602, ktorá bola identifikovaná počas analýzy problému. Rozdiely sa zmenšujú na možnosť preplnenia vyrovnávacej pamäte v zásobníku ľubovoľným počtom bajtov obsahujúcich znak „.“ (t. j. útočník nemôže kontrolovať obsah pretečenia a problém možno použiť iba na zrútenie aplikácie).
Zraniteľnosť sa objavuje iba vo vetve OpenSSL 3.0.x (chyba bola zavedená v kóde konverzie Unicode (punycode) pridanom do vetvy 3.0.x). Problém nie je ovplyvnený vydaniami OpenSSL 1.1.1, ako aj knižnicami rozvetvených OpenSSL LibreSSL a BoringSSL. Zároveň bola vydaná aktualizácia OpenSSL 1.1.1s, ktorá obsahuje iba opravy chýb nesúvisiacich s bezpečnosťou.
Vetva OpenSSL 3.0 sa používa v distribúciách ako Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Ustable. Používateľom týchto systémov sa odporúča nainštalovať aktualizácie čo najskôr (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). V SUSE Linux Enterprise 15 SP4 a openSUSE Leap 15.4 sú voliteľne dostupné balíky s OpenSSL 3.0, systémové balíky využívajú vetvu 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 a FreeBSD zostávajú na pobočkách OpenSSL 3.16.x.
Zdroj: opennet.ru