En korrigerande version av det kryptografiska biblioteket OpenSSL 3.0.7 har publicerats, som ÄtgÀrdar tvÄ sÄrbarheter. BÄda problemen orsakas av buffertspill i e-postfÀltets valideringskod i X.509-certifikat och kan potentiellt leda till kodexekvering vid bearbetning av ett speciellt inramat certifikat. Vid tidpunkten för publiceringen av fixen hade OpenSSL-utvecklarna inte registrerat nÄgra bevis pÄ nÀrvaron av en fungerande exploatering som kunde leda till exekvering av angriparens kod.
Trots det faktum att pre-release-meddelandet om den nya versionen nÀmnde nÀrvaron av ett kritiskt problem, i den slÀppta uppdateringen reducerades statusen för sÄrbarheten till nivÄn av en farlig, men inte kritisk sÄrbarhet. I enlighet med de regler som antagits i projektet minskar risknivÄn om problemet visar sig i atypiska konfigurationer eller om det finns en lÄg sannolikhet för exploatering av sÄrbarheten i praktiken.
I det hÀr fallet sÀnktes allvarlighetsgraden eftersom en detaljerad analys av sÄrbarheten av flera organisationer drog slutsatsen att möjligheten att köra kod under utnyttjande blockeras av stack overflow-skyddsmekanismer som anvÀnds pÄ mÄnga plattformar. Dessutom Àr stack overflow-skyddsmekanismen som anvÀnds i vissa distributioner Linux RutnÀtslayouten gör att de 4 byten utanför grÀnserna överlappar nÀsta buffert pÄ stacken, som Ànnu inte anvÀnds. Det Àr dock möjligt att det finns plattformar dÀr detta skulle kunna utnyttjas för att exekvera kod.
Identifierade problem:
- CVE-2022-3602 Àr en sÄrbarhet, initialt klassad som kritisk, som orsakar ett 4-byte buffertöversvÀmning vid validering av ett specialskrivet e-postadressfÀlt i ett X.509-certifikat. I en TLS-klient kan sÄrbarheten utnyttjas vid anslutning till server, kontrollerad av angriparen. PÄ en TLS-server kan sÄrbarheten utnyttjas om klientautentisering Àr aktiverad med certifikat. SÄrbarheten manifesterar sig efter att den certifikatrelaterade förtroendekedjan har verifierats, vilket innebÀr att attacken krÀver att certifikatutfÀrdaren validerar angriparens skadliga certifikat.
- CVE-2022-3786 Àr en annan vektor för att utnyttja CVE-2022-3602-sÄrbarheten, identifierad under analysen av problemet. Skillnaderna kokar ner till möjligheten att fylla över en buffert pÄ stacken med ett godtyckligt antal byte som innehÄller "." (dvs angriparen kan inte kontrollera innehÄllet i överflödet och problemet kan bara anvÀndas för att fÄ applikationen att krascha).
SÄrbarheterna förekommer endast i OpenSSL 3.0.x-grenen (buggen uppstod i Unicode-konverteringskoden (punycode), som lades till i 3.0.x-grenen). OpenSSL 1.1.1-utgÄvor, sÄvÀl som LibreSSL- och BoringSSL-biblioteken som forkedades frÄn OpenSSL, pÄverkas inte av problemet. Samtidigt slÀpptes en OpenSSL 1.1.1s-uppdatering, som endast innehÄller icke-sÀkerhetsrelaterade buggfixar.
OpenSSL 3.0-grenen anvÀnds i distributioner som Ubuntu 22.04 CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testning/Instabil. AnvÀndare av dessa system rekommenderas att installera uppdateringar sÄ snart som möjligt (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). I SUSE Linux Enterprise 15 SP4 och openSUSE Leap 15.4-paket med OpenSSL 3.0 finns tillgÀngliga som tillval, systempaket anvÀnder grenen 1.1.1. OpenSSL 1.x-grenar finns kvar. Debian 11, BÄge Linux, Ogiltig Linux, Ubuntu 20.04 april, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 och FreeBSD.
KĂ€lla: opennet.ru
