Závažná zraniteľnosť OpenSSL umožňuje DoS
V knižnici OpenSSL sa nachádza zraniteľnosť, pomocou ktorej môže útočník zahltiť systém tak, že vytvorí nekonečnú slučku v napadnutej službe. Jedná sa o zraniteľnosť vysokej závažnosti s CVSSv3 skóre 7.5.
Opis činnosti:
CVE-2022-0778
Knižnica OpenSSL obsahuje chybu, kde za určitých podmienok pri parsovaní certifikátu dochádza k nekonečnému cyklu. Správanie je možné dosiahnuť vyrobením certifikátu, ktorý obsahuje nesprávne explicitné parametre pre eliptické krivky. Konkrétne sa jedná o chybu vo funkcii BN_mod_sqrt(), ktorá počíta druhú odmocninu zo vstupu a následne vykonáva operáciu modulo.
Služby, ktoré používajú knižnicu OpenSSL môžu byť pomocou tejto zraniteľnosti vystavené útokom vedúcim k nedostupnosti služby.
Zraniteľné systémy:
- OpenSSL 1.0.2
- OpenSSL 1.1.1
- OpenSSL 3.0
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Nedostupnosť služby (DoS)
Odporúčania:
Bezodkladne aktualizovať OpenSSL aspoň na nasledovné verzie:
- OpenSSL 1.0.2zd
- OpenSSL 1.1.1n
- OpenSSL 3.0.2
Odkazy:
https://maltacip.gov.mt/en/CIP_Structure/CSIRTMalta/Documents/EN250308%20Advisory.pdf
https://access.redhat.com/security/cve/cve-2022-0778
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778