Toleo la marekebisho la maktaba ya kriptografia ya OpenSSL 3.0.7 imechapishwa, ambayo hurekebisha udhaifu mbili. Matatizo yote mawili yanasababishwa na kufurika kwa bafa katika msimbo wa uthibitishaji wa uga wa barua pepe katika vyeti vya X.509 na kunaweza kusababisha utekelezaji wa msimbo wakati wa kuchakata cheti kilichoandaliwa mahususi. Wakati wa uchapishaji wa kurekebisha, wasanidi programu wa OpenSSL hawakuwa wamerekodi ushahidi wowote wa kuwepo kwa matumizi mabaya ambayo yanaweza kusababisha utekelezaji wa nambari ya mshambulizi.
Licha ya ukweli kwamba tangazo la kabla ya kutolewa kwa toleo jipya lilitaja uwepo wa suala muhimu, kwa kweli, katika sasisho lililotolewa hali ya mazingira magumu ilipunguzwa hadi kiwango cha hatari, lakini sio hatari kubwa. Kwa mujibu wa sheria zilizopitishwa katika mradi huo, kiwango cha hatari kinapunguzwa ikiwa tatizo linajitokeza katika usanidi wa atypical au ikiwa kuna uwezekano mdogo wa unyonyaji wa mazingira magumu katika mazoezi.
Katika hali hii, kiwango cha ukali kilipunguzwa kwa sababu uchanganuzi wa kina wa uwezekano wa kuathiriwa na mashirika kadhaa ulihitimisha kuwa uwezo wa kutekeleza msimbo wakati wa unyonyaji ulizuiwa na mbinu za ulinzi wa rafu zinazotumiwa katika mifumo mingi. Kwa kuongeza, mpangilio wa gridi unaotumika katika baadhi ya usambazaji wa Linux husababisha baiti 4 ambazo hutoka nje ya mipaka kuwekwa juu kwenye bafa inayofuata kwenye rafu, ambayo bado haitumiki. Walakini, kuna uwezekano kwamba kuna majukwaa ambayo yanaweza kutumiwa kutekeleza nambari.
Masuala yaliyotambuliwa:
- CVE-2022-3602 - athari, iliyowasilishwa hapo awali kama muhimu, husababisha kufurika kwa baiti 4 wakati wa kuangalia sehemu iliyo na anwani ya barua pepe iliyoundwa mahususi katika cheti cha X.509. Katika mteja wa TLS, athari inaweza kutumika wakati wa kuunganisha kwenye seva inayodhibitiwa na mvamizi. Kwenye seva ya TLS, athari inaweza kutumika ikiwa uthibitishaji wa mteja kwa kutumia vyeti utatumika. Katika kesi hii, mazingira magumu yanaonekana kwenye hatua baada ya uthibitishaji wa mlolongo wa uaminifu unaohusishwa na cheti, i.e. Shambulio hilo linahitaji mamlaka ya cheti ithibitishe cheti hasidi cha mshambulizi.
- CVE-2022-3786 ni vekta nyingine ya kutumia uwezekano wa CVE-2022-3602, iliyotambuliwa wakati wa uchanganuzi wa tatizo. Tofauti zinatokana na uwezekano wa kufurika bafa kwenye rafu kwa idadi isiyo ya kawaida ya baiti zilizo na "." (yaani, mshambulizi hawezi kudhibiti maudhui ya kufurika na tatizo linaweza kutumika tu kusababisha programu kuacha kufanya kazi).
Athari za kiusalama huonekana tu katika tawi la OpenSSL 3.0.x (hitilafu ilianzishwa katika msimbo wa ubadilishaji wa Unicode (punycode) ulioongezwa kwenye tawi la 3.0.x). Matoleo ya OpenSSL 1.1.1, pamoja na maktaba za uma za OpenSSL LibreSSL na BoringSSL, haziathiriwi na tatizo. Wakati huo huo, sasisho la OpenSSL 1.1.1s lilitolewa, ambalo lina marekebisho ya hitilafu zisizo za usalama pekee.
Tawi la OpenSSL 3.0 linatumika katika usambazaji kama vile Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable. Watumiaji wa mifumo hii wanapendekezwa kusakinisha sasisho haraka iwezekanavyo (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch). Katika SUSE Linux Enterprise 15 SP4 na openSUSE Leap 15.4, vifurushi vilivyo na OpenSSL 3.0 vinapatikana kwa hiari, vifurushi vya mfumo hutumia tawi la 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 na FreeBSD zimesalia kwenye matawi ya OpenSSL 3.16.x.
Chanzo: opennet.ru