OpenSSL şifreleme kitaplığı 3.0.7'nin iki güvenlik açığını gideren düzeltici bir sürümü yayımlandı. Her iki sorun da X.509 sertifikalarındaki e-posta alanı doğrulama kodundaki arabellek taşmalarından kaynaklanır ve özel çerçeveli bir sertifika işlenirken potansiyel olarak kod yürütülmesine yol açabilir. Düzeltmenin yayınlandığı tarihte OpenSSL geliştiricileri, saldırganın kodunun yürütülmesine yol açabilecek çalışan bir açıktan yararlanmanın varlığına dair herhangi bir kanıt kaydetmemişti.
Her ne kadar yeni sürümün yayın öncesi duyurusunda kritik bir sorunun varlığından bahsedilmiş olsa da aslında yayınlanan güncellemede güvenlik açığının durumu tehlikeli ancak kritik olmayan bir güvenlik açığı seviyesine indirildi. Projede benimsenen kurallar doğrultusunda, sorunun atipik konfigürasyonlarda ortaya çıkması veya uygulamada zafiyetin istismar edilme ihtimalinin düşük olması durumunda tehlike düzeyi azaltılmaktadır.
Bu durumda, çeşitli kuruluşlar tarafından yapılan güvenlik açığının ayrıntılı analizi, yararlanma sırasında kod yürütme yeteneğinin birçok platformda kullanılan yığın taşması koruma mekanizmaları tarafından engellendiği sonucuna vardığı için önem düzeyi azaltılmıştır. Ayrıca bazı Linux dağıtımlarında kullanılan ızgara düzeni, sınırların dışına çıkan 4 baytın henüz kullanılmayan yığındaki bir sonraki ara belleğe bindirilmesine neden olur. Ancak kod yürütmek için yararlanılabilecek platformların olması mümkündür.
Tanımlanan sorunlar:
- CVE-2022-3602 - başlangıçta kritik olarak sunulan bir güvenlik açığı, X.4 sertifikasında özel olarak tasarlanmış bir e-posta adresine sahip bir alan kontrol edilirken 509 baytlık arabellek taşmasına neden oluyor. TLS istemcisinde, saldırgan tarafından kontrol edilen bir sunucuya bağlanırken güvenlik açığından yararlanılabilir. TLS sunucusunda, sertifikalar kullanılarak yapılan istemci kimlik doğrulaması kullanılırsa bu güvenlik açığından yararlanılabilir. Bu durumda güvenlik açığı, sertifikayla ilişkili güven zincirinin doğrulanmasından sonraki aşamada ortaya çıkar; Saldırı, sertifika yetkilisinin saldırganın kötü amaçlı sertifikasını doğrulamasını gerektirir.
- CVE-2022-3786, sorunun analizi sırasında tanımlanan CVE-2022-3602 güvenlik açığından yararlanmaya yönelik başka bir vektördür. Farklılıklar, yığındaki bir arabelleğin “.” karakterini içeren isteğe bağlı sayıda bayt kadar taşması olasılığına indirgenir. (yani saldırgan taşma içeriğini kontrol edemez ve sorun yalnızca uygulamanın çökmesine neden olmak için kullanılabilir).
Güvenlik açıkları yalnızca OpenSSL 3.0.x şubesinde görünüyor (hata, 3.0.x şubesine eklenen Unicode dönüştürme kodunda (zayıf kod) ortaya çıkmıştır). OpenSSL 1.1.1 sürümlerinin yanı sıra OpenSSL çatal kitaplıkları LibreSSL ve BoringSSL de sorundan etkilenmemektedir. Aynı zamanda yalnızca güvenlikle ilgili olmayan hata düzeltmelerini içeren OpenSSL 1.1.1s güncellemesi de yayınlandı.
OpenSSL 3.0 şubesi Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable gibi dağıtımlarda kullanılmaktadır. Bu sistemlerin kullanıcılarının güncellemeleri (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch) mümkün olan en kısa sürede yüklemeleri önerilir. SUSE Linux Enterprise 15 SP4 ve openSUSE Leap 15.4'te OpenSSL 3.0 içeren paketler isteğe bağlı olarak mevcuttur, sistem paketleri 1.1.1 dalını kullanır. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ve FreeBSD, OpenSSL 3.16.x dallarında kalmaya devam ediyor.
Kaynak: opennet.ru