Tokollo e lokisoang ea laeborari ea OpenSSL cryptographic 3.0.7 e phatlalalitsoe, e lokisang mefokolo e 'meli. Litaba tsena ka bobeli li bakoa ke ho tlala ha buffer sebakeng sa lengolo-tsoibila la netefatso ea li-certification tsa X.509 'me li ka lebisa ts'ebetsong ea khoutu ha ho sebetsoa setifikeiti se entsoeng ka foreimi e khethehileng. Nakong ea ho phatlalatsoa ha tokiso, bahlahisi ba OpenSSL ba ne ba e-s'o tlalehe bopaki leha e le bofe ba ho ba teng ha ts'ebetso e sebetsang e ka lebisang ho phethoeng ha khoutu ea mohlaseli.
Ho sa tsotellehe 'nete ea hore phatlalatso ea pele ho tokollo ea tokollo e ncha e boletse ho ba teng ha taba e mahlonoko, ha e le hantle, tokollong e lokollotsoeng boemo ba ho ba kotsing bo ile ba fokotsoa ho ea boemong ba ts'oaetso e kotsi, empa eseng e mahlonoko. Ho ea ka melao e amohetsoeng morerong ona, boemo ba kotsi bo fokotsehile haeba bothata bo iponahatsa ka litlhophiso tsa atypical kapa haeba ho na le monyetla o tlase oa ho sebelisoa ha ts'oaetso ts'ebetsong.
Tabeng ena, boemo bo boima bo fokotsehile hobane tlhahlobo e qaqileng ea ho ba kotsing ke mekhatlo e mengata e fihletse qeto ea hore bokhoni ba ho phethahatsa khoutu nakong ea tlhekefetso bo ne bo thibetsoe ke mekhoa ea tšireletso ea stack overflow e sebelisoang liforomong tse ngata. Ntle le moo, sebopeho sa marang-rang se sebelisitsoeng phetisong e 'ngoe ea Linux se fella ka hore li-byte tse 4 tse tsoang meeling li behoe ho buffer e latelang ho stack, e seng e so sebelisoe. Leha ho le joalo, ho ka etsahala hore ho na le li-platform tse ka sebelisoang hampe ho etsa khoutu.
Mathata a khetholloang:
- CVE-2022-3602 - ts'oaetso, e hlahisitsoeng qalong e le ea bohlokoa, e lebisa ho 4-byte buffer e phallang ha u hlahloba tšimo ka aterese ea lengolo-tsoibila e entsoeng ka ho khetheha setifikeiti sa X.509. Ho moreki oa TLS, ho ba kotsing ho ka sebelisoa hampe ha o hokela ho seva e laoloang ke mohlaseli. Ho seva sa TLS, ho ba kotsing ho ka sebelisoa hampe haeba netefatso ea bareki e sebelisoa ka litifikeiti. Tabeng ena, ho ba kotsing ho hlaha sethaleng ka mor'a ho netefatsa ketane ea tšepo e amanang le setifikeiti, i.e. Tlhaselo e hloka hore balaoli ba setifikeiti ba netefatse setifikeiti se lonya sa mohlaseli.
- CVE-2022-3786 ke vector e 'ngoe ea ho sebelisa hampe ts'oaetso ea CVE-2022-3602, e khethiloeng nakong ea tlhahlobo ea bothata. Liphapano li ipapisitse le monyetla oa ho tlala "buffer" ho stack ka palo e sa lekanyetsoang ea li-byte tse nang le "." (ke hore, mohlaseli ha a khone ho laola likahare tsa ho phalla 'me bothata bo ka sebelisoa feela ho etsa hore kopo e senyehe).
Bofokoli bo hlaha feela lekaleng la OpenSSL 3.0.x (kokoana e kentsoe ho Unicode conversion code (punycode) e kentsoeng lekaleng la 3.0.x). Likhatiso tsa OpenSSL 1.1.1, hammoho le lilaebrari tsa fereko tsa OpenSSL LibreSSL le BoringSSL, ha li amehe ke bothata. Ka nako e ts'oanang, ntlafatso ea OpenSSL 1.1.1s e ile ea lokolloa, e nang le litokiso tsa liphoso tse seng tsa ts'ireletso feela.
Lekala la OpenSSL 3.0 le sebelisoa kabong e kang Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Basebelisi ba lits'ebetso tsena ba khothaletsoa ho kenya liapdeite kapele kamoo ho ka khonehang (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Ho SUSE Linux Enterprise 15 SP4 le openSUSE Leap 15.4, liphutheloana tse nang le OpenSSL 3.0 li fumaneha ka boikhethelo, liphutheloana tsa sistimi li sebelisa lekala la 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 le FreeBSD li ntse li le makaleng a OpenSSL 3.16.x.
Source: opennet.ru