Pelepasan koréksi perpustakaan kriptografi OpenSSL 3.0.7 parantos diterbitkeun, anu ngalereskeun dua kerentanan. Duanana masalah disababkeun ku overflows panyangga dina kode validasi widang email di sertipikat X.509 sarta berpotensi ngakibatkeun palaksanaan kode nalika ngolah sertipikat dipiguraan husus. Dina waktos publikasi perbaikan, pamekar OpenSSL henteu acan ngarékam bukti ayana eksploitasi kerja anu tiasa nyababkeun palaksanaan kode panyerang.
Najan kanyataan yén pre-release pengumuman tina release anyar disebutkeun ayana masalah kritis, dina kanyataanana, dina update dirilis status kerentanan ieu diréduksi jadi tingkat bahaya, tapi teu kritis kerentanan. Luyu sareng aturan anu diadopsi dina proyék éta, tingkat bahaya diréduksi upami masalahna muncul dina konfigurasi atypical atanapi upami aya kamungkinan eksploitasi kerentanan dina praktékna.
Dina hal ieu, tingkat severity dikirangan kusabab analisa rinci ngeunaan kerentanan ku sababaraha organisasi nyimpulkeun yén kamampuan pikeun ngaéksekusi kode nalika eksploitasi diblokir ku mékanisme panyalindungan overflow tumpukan anu dianggo dina seueur platform. Sajaba ti éta, tata perenah grid dipaké dina sababaraha distribusi Linux Ubuntu hasil dina 4 bait nu kaluar tina wates keur superimposed dina panyangga salajengna dina tumpukan, nu teu acan dipaké. Nanging, mungkin waé aya platform anu tiasa dieksploitasi pikeun ngaéksekusi kode.
Masalah anu diidentifikasi:
- CVE-2022-3602 - kerentanan, mimitina dibere salaku kritis, ngabalukarkeun 4-bait panyangga mudal nalika mariksa widang kalayan alamat surélék dirancang husus dina sertipikat X.509. Dina klien TLS, kerentanan tiasa dieksploitasi nalika nyambungkeun ka server anu dikontrol ku panyerang. Dina server TLS, kerentanan tiasa dieksploitasi upami auténtikasi klien nganggo sertipikat dianggo. Dina hal ieu, kerentanan muncul dina panggung saatos verifikasi ranté kapercayaan anu aya hubunganana sareng sertipikat, i.e. Serangan merlukeun otoritas sertipikat pariksa sertipikat jahat tina panyerang.
- CVE-2022-3786 mangrupikeun vektor sanés pikeun ngamangpaatkeun kerentanan CVE-2022-3602, anu diidentifikasi nalika analisa masalah. Bedana ngagolak kana kamungkinan overflowing panyangga dina tumpukan ku sajumlah bait wenang ngandung "." (nyaéta panyerang teu tiasa ngontrol eusi ngabahekeun sareng masalahna ngan ukur tiasa dianggo pikeun ngadat aplikasi).
Kerentanan ngan muncul dina cabang OpenSSL 3.0.x (bug ieu diwanohkeun dina kode konversi Unicode (punycode) ditambahkeun kana cabang 3.0.x). Kaluaran OpenSSL 1.1.1, kitu ogé perpustakaan garpu OpenSSL LibreSSL sareng BoringSSL, henteu kapangaruhan ku masalah. Dina waktos anu sami, apdet OpenSSL 1.1.1s dileupaskeun, anu ngan ukur ngalereskeun bug non-kaamanan.
Cabang OpenSSL 3.0 dianggo dina distribusi sapertos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Pamaké sistem ieu disarankeun pikeun masang apdet pas mungkin (Debian, Ubuntu, RHEL, SUSE / openSUSE, Fedora, Arch). Dina SUSE Linux Enterprise 15 SP4 sareng openSUSE Leap 15.4, bungkusan sareng OpenSSL 3.0 sayogi opsional, bungkusan sistem nganggo cabang 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 sareng FreeBSD tetep dina cabang OpenSSL 3.16.x.
sumber: opennet.ru