Objavljena je bila popravljalna izdaja kriptografske knjižnice OpenSSL 3.0.7, ki odpravlja dve ranljivosti. Obe težavi povzročajo prekoračitve medpomnilnika v potrditveni kodi e-poštnega polja v potrdilih X.509 in lahko vodijo do izvajanja kode pri obdelavi posebej uokvirjenega potrdila. V času objave popravka razvijalci OpenSSL niso zabeležili nobenih dokazov o prisotnosti delujočega izkoriščanja, ki bi lahko vodilo do izvedbe napadalčeve kode.
Kljub dejstvu, da je napoved nove izdaje pred izdajo omenjala prisotnost kritične težave, je bil status ranljivosti v izdani posodobitvi dejansko znižan na raven nevarne, vendar ne kritične ranljivosti. V skladu s pravili, sprejetimi v projektu, se stopnja nevarnosti zmanjša, če se problem kaže v netipičnih konfiguracijah ali če obstaja majhna verjetnost izkoriščanja ranljivosti v praksi.
V tem primeru je bila stopnja resnosti znižana, ker je podrobna analiza ranljivosti, ki jo je izvedlo več organizacij, pokazala, da so zmožnost izvajanja kode med izkoriščanjem blokirali mehanizmi za zaščito pred prelivanjem skladov, ki se uporabljajo na številnih platformah. Poleg tega postavitev mreže, ki se uporablja v nekaterih distribucijah Linuxa, povzroči, da se 4 bajci, ki gredo izven meja, prekrivajo z naslednjim medpomnilnikom v skladu, ki še ni v uporabi. Vendar je možno, da obstajajo platforme, ki jih je mogoče izkoristiti za izvajanje kode.
Ugotovljene težave:
- CVE-2022-3602 – ranljivost, ki je bila sprva predstavljena kot kritična, povzroči prekoračitev 4-bajtnega medpomnilnika pri preverjanju polja s posebej oblikovanim e-poštnim naslovom v potrdilu X.509. V odjemalcu TLS je ranljivost mogoče izkoristiti pri povezovanju s strežnikom, ki ga nadzoruje napadalec. Na strežniku TLS je ranljivost mogoče izkoristiti, če se uporablja preverjanje pristnosti odjemalca s potrdili. V tem primeru se ranljivost pojavi na stopnji po preverjanju verige zaupanja, povezane s certifikatom, tj. Napad zahteva, da overitelj potrdil preveri zlonamerno potrdilo napadalca.
- CVE-2022-3786 je še en vektor za izkoriščanje ranljivosti CVE-2022-3602, ugotovljen med analizo problema. Razlike se zmanjšajo na možnost prepolnitve vmesnega pomnilnika v skladu s poljubnim številom bajtov, ki vsebujejo ».« (tj. napadalec ne more nadzorovati vsebine preliva in težavo lahko uporabi samo za povzročitev zrušitve aplikacije).
Ranljivosti se pojavljajo samo v veji OpenSSL 3.0.x (napaka je bila predstavljena v kodi za pretvorbo Unicode (punycode), dodani veji 3.0.x). Težava ne vpliva na izdaje OpenSSL 1.1.1, kot tudi na knjižnici odprtin OpenSSL LibreSSL in BoringSSL. Istočasno je bila izdana posodobitev OpenSSL 1.1.1s, ki vsebuje samo popravke napak, ki niso povezane z varnostjo.
Podružnica OpenSSL 3.0 se uporablja v distribucijah, kot so Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Uporabnikom teh sistemov priporočamo čimprejšnjo namestitev posodobitev (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). V SUSE Linux Enterprise 15 SP4 in openSUSE Leap 15.4 so paketi z OpenSSL 3.0 na voljo izbirno, sistemski paketi uporabljajo vejo 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 in FreeBSD ostajajo v vejah OpenSSL 3.16.x.
Vir: opennet.ru