Závažné zraniteľnosti v OpenSSL

V OpenSSL boli opravené dve vysoko závažné zraniteľnosti umožňujúce vyvolať nedostupnosť služby alebo v obmedzenej miere vykonávať vzdialene kód. Súvisia so spôsobom overovania e-mailových adries v certifikátoch X.509.

Opis činnosti:

CVE-2022-3602, CVE-2022-3786

Vývojári OpenSSL vydali opravu dvoch vysoko závažných zraniteľností, ktoré súvisia s pretečením medzipamäte vo funkcionalite zodpovednej za spracovanie e-mailových adries v certifikátoch X.509 pri ich overovaní. Tento krok nastáva po overení podpisu certifikátu. Pre zneužitie zraniteľnosti tak útočník potrebuje certifikát so špeciálne vytvoreným reťazcom na mieste e-mailovej adresy podpísaný príslušnou certifikačnou autoritou alebo aplikáciu, ktorá bude pokračovať v overovaní e-mailu aj keď neprejde overenie podpisu.

Prvá zraniteľnosť dovoľuje vyvolať pretečenie štyroch bytov na zásobníku. To môže viesť k možnosti vzdialene vykonávať kód, či k vyvolaniu nedostupnosti služby. Druhá vyvolať pretečenie na zásobníku o ľubovoľný počet bytov obsahujúcich symbol „.“, čo môže spôsobiť nedostupnosť služby.

O zraniteľnostiach informovali vývojárov OpenSSL bezpečnostní výskumníci Polar Bear a Viktor Dukhovni.

Zraniteľné systémy:

OpenSSL 3.0.0 – 3.0.6

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Nedostupnosť služby (DoS)
  • Vzdialené vykonávanie kódu

Odporúčania:

Aktualizácia OpenSSL aspoň na verziu 3.0.7. Bezodkladne aktualizujte, pokiaľ používate OpenSSL 3.0.X na serveroch vystavených do internetu, na ktorých je aktívna klientska autentifikácia.

Odkazy:

https://portswigger.net/daily-swig/openssl-vulnerability-downgraded-to-high-severity

https://www.openssl.org/news/secadv/20221101.txt