Se dio a conocer información sobre la libération d’une version corrigée de la biblioteca cryptográfica OpenSSL 3.0.7, qui corrige les vulnérabilités las cuales y razón por la que se lanzó esta versión correctiva es por el desbordamiento de búfer explotado al validar certificados X.509.
Cabe mencionar que ambos problemas son causados por un desbordamiento de búfer en el código para validar el campo de dirección de correo electrónico en los certificados X.509 y podrían provocar la ejecución del código al procesar un certificado especialmente diseñado.
Au moment de la publication de la correction, les désarrollateurs d’OpenSSL n’avaient pas enregistré l’existence d’un exploit fonctionnel qui pudiera conduire à l’exécution du code de l’attaque.
Hay un caso en el que los servidores podrían explotarse a través de la autenticación de cliente TLS, lo que puede eludir los requisitos de firma de CA, ya que generalmente no se requiere que los certificados de cliente isén firmados por una CA de confianza. Dado que la autenticación del cliente es rara y la mayoría de los servidores no la tienen habilitada, la explotación del servidor debería ser de bajo riesgo.
Los atacantes podrían aprovechar esta vulnerabilidad dirigiendo al cliente a un servidor TLS malicioso que utiliza un certificado especialmente diseñado para desencadenar la vulnerabilidad.
Aunque el anuncio prepublicado del nuevo lanzamiento mencionaba la existencia de un problema crítico, de hecho, en la actualización publicada, el estado de la vulnerabilidad se redujo a un problema peligroso, pero no crítico.
De acuerdo con las reglas adoptadas en el proyecto, el nivel de severidad se reduce en caso de un problema en configuraciones atípicas o en caso de una baja probabilidad de explotar una vulnerabilidad en la práctica. Dans ce cas, se réduit le niveau de gravité, il y a que l’exploitation de la vulnérabilité est bloquée par les mécanismes de protection contre le desbordamiento de pila utilizados en beaucoup de plates-formes.
Los anuncios previos de CVE-2022-3602 décrivent ce problème comme CRÍTICO. Análisis adicional basado en algunos de los factores mitigantes descritos anteriormente han llevado a que esto sea degradado a ALTO.
Se sigue animando a los usuarios a actualizar a una nueva versión tan pronto como sea posible. En un client TLS, esto puede activarse al conectarse a un malicioso servidor. En un serveur TLS, esto puede activarse si el servidor solicita autenticación de cliente y un cliente malicioso se conecta. Les versions d’OpenSSL 3.0.0 et 3.0.6 sont vulnérables à ce problème. Les utilisateurs d’OpenSSL 3.0 doivent être mis à jour vers OpenSSL 3.0.7.
De los problemas identificados se menciona lo suivant :
CVE-2022-3602 : Inicially is informó comeo critica, una vulnerabilidad provoca un debordamiento del búfer de 4 bytes al verificar un campo de dirección de correo electrónico especialmente diseñado in un certificado X.509. En un client TLS, la vulnérabilité se peut aprovechar conectándose a un servidor controlado por el atacante. Dans un serveur TLS, la vulnérabilité peut être approuvée si elle utilise l’authentification de la clientèle médiane certifiée. En este caso, la vulnerabilidad se manifiesta en la etapa posterior a la verificación de la cadena de confianza asociada al certificado, es decir El ataque requiere que la autoridad de certificación valide el certificado malicioso del atacante.
CVE-2022-3786 : est un autre vecteur d’exploitation de la vulnérabilité CVE-2022-3602 identifié pendant l’analyse du problème. Las diferencias se reducen a la posibilidad de desbordar el búfer en la pila por un número arbitrario de bytes que contengan el carácter «.». El problema se puede utilizar para hacer qu’una aplicación se bloquee.
Las vulnerabilidades aparecen solo in the rama OpenSSL 3.0.x, les versions d’OpenSSL 1.1.1, ainsi que les bibliothèques LibreSSL et BoringSSL dérivées d’OpenSSL, ne sont pas sept affectées par le problème. À ce moment-là, une mise à jour d’OpenSSL 1.1.1s a été générée, seule elle contient des corrections d’erreurs sans lien avec la sécurité.
La version OpenSSL 3.0 est utilisée et distribuée avec Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Il est recommandé aux utilisateurs de ces systèmes d’installer les mises à jour les plus récentes possibles (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).
Dans SUSE Linux Enterprise 15 SP4 et openSUSE Leap 15.4, les paquets avec OpenSSL 3.0 sont disponibles en option, les paquets du système utilisent la version 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 et FreeBSD sont permanents avec les programmes OpenSSL 1.x.
Enfin si estás interesado en poder conocer más al respectopuedes consultar los detalles en el siguiente enlace.