Závažná zraniteľnosť OpenSSL umožňuje DoS

V knižnici OpenSSL sa nachádza zraniteľnosť, pomocou ktorej môže útočník zahltiť systém tak, že vytvorí nekonečnú slučku v napadnutej službe. Jedná sa o zraniteľnosť vysokej závažnosti s CVSSv3 skóre 7.5.

Opis činnosti:

CVE-2022-0778

Knižnica OpenSSL obsahuje chybu, kde za určitých podmienok pri parsovaní certifikátu dochádza k nekonečnému cyklu. Správanie je možné dosiahnuť vyrobením certifikátu, ktorý obsahuje nesprávne explicitné parametre pre eliptické krivky. Konkrétne sa jedná o chybu vo funkcii BN_mod_sqrt(), ktorá počíta druhú odmocninu zo vstupu a následne vykonáva operáciu modulo.

Služby, ktoré používajú knižnicu OpenSSL môžu byť pomocou tejto zraniteľnosti vystavené útokom vedúcim k nedostupnosti služby.

Zraniteľné systémy:

  • OpenSSL 1.0.2
  • OpenSSL 1.1.1
  • OpenSSL 3.0

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladne aktualizovať OpenSSL aspoň na nasledovné verzie:

  • OpenSSL 1.0.2zd
  • OpenSSL 1.1.1n
  • OpenSSL 3.0.2

Odkazy:

https://maltacip.gov.mt/en/CIP_Structure/CSIRTMalta/Documents/EN250308%20Advisory.pdf

https://access.redhat.com/security/cve/cve-2022-0778

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778