OpenSSL — это проект бесплатного программного обеспечения, основанный на SSLeay.
Была обнародована информация о выпуск корректирующей версии крипто библиотека OpenSSL 3.0.7, исправляющий две уязвимостикак и почему была выпущена эта корректирующая версия. из-за переполнения буфера, используемого при проверке сертификатов X.509.
Стоит отметить, что обе проблемы вызваны переполнением буфера в коде для проверки поля адреса электронной почты в сертификатах X.509 и может привести к выполнению кода при обработке специально созданного сертификата.
На момент выпуска исправления разработчики OpenSSL не сообщали о существовании функционального эксплойта, который мог привести к выполнению кода злоумышленника.
Есть случай, когда серверы могут быть взломаны через аутентификацию клиента TLS, которая может обойти требования к подписи ЦС, поскольку клиентские сертификаты обычно не должны быть подписаны доверенным ЦС. Поскольку проверка подлинности клиента выполняется редко, а на большинстве серверов она не включена, риск использования сервера невелик.
Нападавшие может использовать эту уязвимость, направляя клиента на вредоносный сервер TLS. который использует специально созданный сертификат для активации уязвимости.
Хотя в предварительном анонсе нового релиза упоминалась критическая проблема, на самом деле в выпущенном обновлении статус уязвимости был понижен до Dangerous, но не Critical.
Согласно правилам, принятым в проекте, уровень серьезности снижен в случае возникновения проблемы в нетипичных конфигурациях или в случае низкой вероятности эксплуатации уязвимости на практике. В данном случае уровень серьезности снижен, так как эксплуатация уязвимости блокируется механизмами защиты от переполнения стека, используемыми на многих платформах.
В предыдущих сообщениях о CVE-2022-3602 эта проблема описывалась как КРИТИЧЕСКАЯ. Дополнительный анализ, основанный на некоторых смягчающих факторах, изложенных выше, привел к понижению этого уровня до ВЫСОКОГО.
Пользователям по-прежнему рекомендуется как можно скорее обновиться до новой версии. На клиенте TLS это может быть вызвано подключением к вредоносному серверу. На сервере TLS это может быть вызвано, если сервер запрашивает аутентификацию клиента и подключается злонамеренный клиент. Версии OpenSSL с 3.0.0 по 3.0.6 уязвимы для этой проблемы. Пользователи OpenSSL 3.0 должны обновиться до OpenSSL 3.0.7.
выявленных проблем упоминается следующее:
CVE-2022-3602— Первоначально заявленная как критическая, уязвимость вызывает переполнение 4-байтового буфера при проверке специально созданного поля адреса электронной почты в сертификате X.509. На клиенте TLS уязвимость может быть использована путем подключения к серверу, контролируемому злоумышленником.. На сервере TLS уязвимость может быть использована, если используется аутентификация клиентов с использованием сертификатов. В этом случае уязвимость проявляется на этапе после проверки цепочки доверия, связанной с сертификатом, то есть атака требует от центра сертификации проверки вредоносного сертификата злоумышленника.
CVE-2022-3786: Это еще один вектор эксплуатации уязвимости CVE-2022-3602, выявленной в ходе анализа проблемы. Отличия сводятся к возможности переполнения буфера стека на произвольное количество байт. содержащий символ «.». Эта проблема может быть использована для сбоя приложения.
Уязвимости появляются только в ветке OpenSSL 3.0.x, OpenSSL версии 1.1.1, а также библиотеки LibreSSL и BoringSSL, производные от OpenSSL, не подвержены этой проблеме. В то же время было выпущено обновление для OpenSSL 1.1.1s, содержащее только исправления ошибок, не связанных с безопасностью.
Ветвь OpenSSL 3.0 используется такими дистрибутивами, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Пользователям этих систем рекомендуется как можно скорее установить обновления (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны как опция, системные пакеты используют ветку 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 и FreeBSD остаются в ветках OpenSSL 1.x.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.