OpenSSL relata duas vulnerabilidades de alta gravidade

OpenSSL 3.3 lançado com muitas adições para QUIC e otimizações de desempenho da CPU

Duas vulnerabilidades de segurança de alta gravidade que afetam o OpenSSL foram divulgadas hoje, que foram os problemas que levaram o Fedora 37 a ser adiado para meados de novembro para permitir que as imagens de lançamento mitigassem os pacotes OpenSSL. Então, a equipe responsável pelo desenvolvimento do OpenSSL relata duas vulnerabilidades de alta gravidade. No entanto, infelizmente, esta não foi a primeira vez que uma falha grave foi relatada pela própria equipe.

As vulnerabilidades do OpenSSL tornadas públicas hoje são um buffer overflow de 4 bytes de endereço de e-mail X.509 (CVE-2022-3602) e um buffer overflow de comprimento variável de endereço de e-mail X.509 (CVE-2022-3786).

OpenSSL relata duas vulnerabilidades de alta gravidade

openssl-alerta-sobre-vulnerabilidade-critica-e-anuncia-patch-para-hoje
No entanto, infelizmente, esta não foi a primeira vez que uma falha grave foi relatada pela própria equipe.

Ambas as vulnerabilidades dizem respeito a estouros de buffer na verificação do certificado X.509. CVE-2022-3602 é a vulnerabilidade originalmente considerada “crítica” e o que levou ao atraso do Fedora 37 e similares. No entanto, em uma análise mais aprofundada, eles decidiram rebaixar para gravidade “alta”.

Uma saturação de buffer pode ser acionada na verificação do certificado X.509, especificamente na verificação de restrição de nome. Observe que isso ocorre após a verificação da assinatura da cadeia de certificados e requer um CA tenha assinado o certificado malicioso ou que o aplicativo continuar a verificação do certificado apesar da falha na construção de um caminho para um emissor confiável. Um invasor pode criar um endereço de e-mail malicioso para estourar quatro bytes controlados pelo invasor na pilha. Este buffer estouro pode resultar em uma falha (causando uma negação de serviço) ou execução de código potencialmente remota.

Muitas plataformas implementam proteções de estouro de pilha que mitigariam contra o risco de execução remota de código. O risco pode ser mais mitigado com base no layout da pilha para qualquer plataforma/compilador. Pré-anúncios do CVE-2022-3602 qualificaram este problema como CRÍTICO. Análise adicional com base em alguns dos fatores atenuantes descritos acima levaram isso a ser rebaixado para HIGH. Os usuários ainda são incentivados a atualize para uma nova versão o mais rápido possível. Em um cliente TLS, isso pode ser acionado conectando-se a um servidor. Em um servidor TLS, isso pode ser acionado se o servidor solicitar autenticação de cliente e um cliente mal-intencionado se conecta.

O OpenSSL 3.0.x anterior ao OpenSSL 3.0.7 é afetado por essas vulnerabilidades, mas não as versões mais antigas do OpenSSL 1.x. Mais detalhes sobre essas vulnerabilidades de segurança do OpenSSL em OpenSSL.org. O OpenSSL 3.0.7 está disponível com as correções.