OpenSSL hibajavító verziók
2022-11-01
Nov. 1-én megjelentek a már múlt héten bejelentett OpenSSL hibajavítások.
Az OpenSSL 1.1.1 verzió javítása az OpenSSL 1.1.1s, mely egy olyan biztonsággal kapcsolatos hibát javít, melynek nincs biztonsági besorolása vagy hivalalos CVE-száma.
Az OpenSSL 3.0 verziót az OpenSSL 3.0.7 verzió váltja, mely két CVE- számmal rendelkező hibát javít. CVE-2022-3602 és CVE-2022-3786. A CVE-2022-3602 javítási munkálatai közben fedezték fel a hasonló CVE-2022-3786 sérülékenységet. A korábban kritikus besorolású CVE-2022-3602 sérülékenységet magas besorolásúra csökkentették. Ennek ellenére javasolt a mihamarabbi frissítés az új verzióra.
Az eredeti hiba csak négy bájtot tesz lehetővé a támadónak hogy a stackben megváltoztasson, ami korlátozza a sérülékenység kihasználhatóságát, míg a második hiba korlátlan számú stack overflow-t tesz lehetővé, de csak a „pont” karaktert (ASCII 46 vagy 0x2E) ) ismételgetve újra és újra.
Mindkét sérülékenység a TLS-tanúsítvány-ellenőrzés során merül fel, amikor a támadott kliens vagy szerver „azonosítja” magát a kapcsolat másik végén lévő szerver vagy kliens előtt egy szándékosan rosszul formázott TLS-tanúsítvánnyal.
Bár az ilyen típusú stack-túlcsordulás (az egyik korlátozott méretű, a másik korlátozott adatértékű) úgy hangzik, mintha nehéz lenne kódvégrehajtásra kihasználni (különösen a 64 bites szoftverekben, ahol négy bájt csak a memóriacím fele). … …szinte biztos, hogy könnyen kihasználhatók DoS támadásokra, ahol a csaló tanúsítvány küldője tetszés szerint összeomlaszthatja a tanúsítvány címzettjét. Szerencsére a legtöbb TLS-csere során az ügyfelek ellenőrzik a szervertanúsítványokat, és nem fordítva.
Az új verzió letölthető az OpenSSL hivatalos oldaláról:
https://www.openssl.org/source/
A sérülékenységgel érintett szoftverek az alábbi linken tekinthetők meg:
https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
További információk találhatók az alábbi linkeken:
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html