Notícias

OpenSSL relata duas vulnerabilidades de alta gravidade

Esta não é a primeira vez que uma falha grave é relatada pela própria equipe de desenvolvedores.

Claylson Martins
OpenSSL 3.3 lançado com muitas adições para QUIC e otimizações de desempenho da CPU

Duas vulnerabilidades de segurança de alta gravidade que afetam o OpenSSL foram divulgadas hoje, que foram os problemas que levaram o Fedora 37 a ser adiado para meados de novembro para permitir que as imagens de lançamento mitigassem os pacotes OpenSSL. Então, a equipe responsável pelo desenvolvimento do OpenSSL relata duas vulnerabilidades de alta gravidade. No entanto, infelizmente, esta não foi a primeira vez que uma falha grave foi relatada pela própria equipe.

As vulnerabilidades do OpenSSL tornadas públicas hoje são um buffer overflow de 4 bytes de endereço de e-mail X.509 (CVE-2022-3602) e um buffer overflow de comprimento variável de endereço de e-mail X.509 (CVE-2022-3786).

OpenSSL relata duas vulnerabilidades de alta gravidade

No entanto, infelizmente, esta não foi a primeira vez que uma falha grave foi relatada pela própria equipe.

Ambas as vulnerabilidades dizem respeito a estouros de buffer na verificação do certificado X.509. CVE-2022-3602 é a vulnerabilidade originalmente considerada “crítica” e o que levou ao atraso do Fedora 37 e similares. No entanto, em uma análise mais aprofundada, eles decidiram rebaixar para gravidade “alta”.

Uma saturação de buffer pode ser acionada na verificação do certificado X.509, especificamente na verificação de restrição de nome. Observe que isso ocorre após a verificação da assinatura da cadeia de certificados e requer um CA tenha assinado o certificado malicioso ou que o aplicativo continuar a verificação do certificado apesar da falha na construção de um caminho para um emissor confiável. Um invasor pode criar um endereço de e-mail malicioso para estourar quatro bytes controlados pelo invasor na pilha. Este buffer estouro pode resultar em uma falha (causando uma negação de serviço) ou execução de código potencialmente remota.

Muitas plataformas implementam proteções de estouro de pilha que mitigariam contra o risco de execução remota de código. O risco pode ser mais mitigado com base no layout da pilha para qualquer plataforma/compilador. Pré-anúncios do CVE-2022-3602 qualificaram este problema como CRÍTICO. Análise adicional com base em alguns dos fatores atenuantes descritos acima levaram isso a ser rebaixado para HIGH. Os usuários ainda são incentivados a atualize para uma nova versão o mais rápido possível. Em um cliente TLS, isso pode ser acionado conectando-se a um servidor. Em um servidor TLS, isso pode ser acionado se o servidor solicitar autenticação de cliente e um cliente mal-intencionado se conecta.

O OpenSSL 3.0.x anterior ao OpenSSL 3.0.7 é afetado por essas vulnerabilidades, mas não as versões mais antigas do OpenSSL 1.x. Mais detalhes sobre essas vulnerabilidades de segurança do OpenSSL em OpenSSL.org. O OpenSSL 3.0.7 está disponível com as correções.

TAGGED:
Share This Article
Por Claylson Martins
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Previous Article Uso do Steam Linux cresce em outubro graças ao Steam Deck
Next Article Driver Intel Software Defined Silicon para Linux recebe últimas atualizações “Intel On Demand”
Sair da versão mobile