Është publikuar një version korrigjues i bibliotekës kriptografike OpenSSL 3.0.7, i cili rregullon dy dobësi. Të dyja problemet shkaktohen nga tejmbushjet e buferit në kodin e vlefshmërisë së fushës së emailit në certifikatat X.509 dhe potencialisht mund të çojnë në ekzekutimin e kodit kur përpunohet një certifikatë e përshtatur posaçërisht. Në kohën e publikimit të rregullimit, zhvilluesit e OpenSSL nuk kishin regjistruar asnjë dëshmi të pranisë së një shfrytëzimi pune që mund të çonte në ekzekutimin e kodit të sulmuesit.
Përkundër faktit se njoftimi para publikimit të lëshimit të ri përmendte praninë e një çështjeje kritike, në fakt, në përditësimin e lëshuar statusi i cenueshmërisë u ul në nivelin e një cenueshmërie të rrezikshme, por jo kritike. Në përputhje me rregullat e miratuara në projekt, niveli i rrezikut zvogëlohet nëse problemi shfaqet në konfigurime atipike ose nëse ka një probabilitet të ulët për shfrytëzimin e cenueshmërisë në praktikë.
Në këtë rast, niveli i ashpërsisë u zvogëlua sepse një analizë e detajuar e cenueshmërisë nga disa organizata arriti në përfundimin se aftësia për të ekzekutuar kodin gjatë shfrytëzimit u bllokua nga mekanizmat e mbrojtjes nga tejmbushja e pirgut të përdorur në shumë platforma. Për më tepër, faqosja e rrjetit e përdorur në disa shpërndarje Linux rezulton në 4 bajt që dalin jashtë kufijve të mbivendosura në tampon tjetër në pirg, i cili nuk është ende në përdorim. Megjithatë, është e mundur që ka platforma që mund të shfrytëzohen për të ekzekutuar kodin.
Çështjet e identifikuara:
- CVE-2022-3602 - një cenueshmëri, e paraqitur fillimisht si kritike, çon në një tejmbushje të buferit prej 4 bajtësh kur kontrolloni një fushë me një adresë emaili të krijuar posaçërisht në një certifikatë X.509. Në një klient TLS, dobësia mund të shfrytëzohet kur lidhet me një server të kontrolluar nga sulmuesi. Në një server TLS, dobësia mund të shfrytëzohet nëse përdoret vërtetimi i klientit duke përdorur certifikata. Në këtë rast, cenueshmëria shfaqet në fazën pas verifikimit të zinxhirit të besimit të lidhur me certifikatën, d.m.th. Sulmi kërkon që autoriteti i certifikatës të verifikojë certifikatën me qëllim të keq të sulmuesit.
- CVE-2022-3786 është një tjetër vektor për shfrytëzimin e cenueshmërisë CVE-2022-3602, i identifikuar gjatë analizës së problemit. Dallimet zbresin në mundësinë e tejmbushjes së një buffer në pirg nga një numër arbitrar bajtësh që përmbajnë "." (d.m.th. sulmuesi nuk mund të kontrollojë përmbajtjen e tejmbushjes dhe problemi mund të përdoret vetëm për të shkaktuar rrëzimin e aplikacionit).
Dobësitë shfaqen vetëm në degën OpenSSL 3.0.x (defekti u prezantua në kodin e konvertimit të Unicode (punycode) i shtuar në degën 3.0.x). Publikimet e OpenSSL 1.1.1, si dhe bibliotekat OpenSSL fork LibreSSL dhe BoringSSL, nuk preken nga problemi. Në të njëjtën kohë, u lëshua përditësimi OpenSSL 1.1.1s, i cili përmban vetëm rregullime të gabimeve jo të sigurisë.
Dega OpenSSL 3.0 përdoret në shpërndarje të tilla si Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Përdoruesve të këtyre sistemeve rekomandohet të instalojnë përditësime sa më shpejt të jetë e mundur (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Në SUSE Linux Enterprise 15 SP4 dhe openSUSE Leap 15.4, paketat me OpenSSL 3.0 janë të disponueshme opsionalisht, paketat e sistemit përdorin degën 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 dhe FreeBSD mbeten në degët OpenSSL 3.16.x.
Burimi: opennet.ru