OpenSSL Project je objavio ispravke za rješavanje nekoliko sigurnosnih nedostataka, uključujući i veliku grešku u kompletu alata za šifrovanje otvorenog koda koja bi potencijalno mogla izložiti korisnike malicioznim napadima.
Praćen kao CVE-2023-0286, problem se odnosi na slučaj zabune u tipu koji može dozvoliti hakeru da “čita sadržaj memorije ili izvrši uskraćivanje usluge”, rekli su održavaoci u savjetu.
Ranjivost je ukorenjena u načinu na koji popularna kriptografska biblioteka rukuje X.509 sertifikatima i vjerovatno će uticati samo na one aplikacije koje imaju prilagođenu implementaciju za preuzimanje liste opoziva sertifikata (CRL) preko mreže.
“U većini slučajeva, napad zahtijeva od napadača da obezbijedi i lanac certifikata i CRL, od kojih nijedan ne mora imati valjan potpis”, kaže OpenSSL. “Ako napadač kontroliše samo jedan od ovih ulaza, drugi ulaz već mora sadržavati X.400 adresu kao CRL distribucijsku tačku, što je neuobičajeno.”
Greške u konfuziji tipa mogu imati ozbiljne posljedice, jer bi se mogle koristiti oružjem kako bi se program namjerno natjerao da se ponaša na nenamjeran način, što bi moglo uzrokovati pad ili izvršenje koda.
Problem je zakrpljen u OpenSSL verzijama 3.0.8, 1.1.1t i 1.0.2zg. Ostale sigurnosne propuste riješene u sklopu najnovijih ažuriranja uključuju:
- CVE-2022-4203 – X.509 Ograničenja imena Read Buffer Overflow
- CVE-2022-4304 – Timing Oracle u RSA dešifrovanju
- CVE-2022-4450 – Dvostruko besplatno nakon pozivanja PEM_read_bio_ex
- CVE-2023-0215 - Upotreba nakon besplatnog praćenja BIO_new_NDEF
- CVE-2023-0216 – Nevažeća dereferenca pokazivača u funkcijama d2i_PKCS7
- CVE-2023-0217 – NULL dereferenca potvrđuje DSA javni ključ
- CVE-2023-0401 – NULL dereferenca tokom verifikacije podataka PKCS7
Uspješno iskorištavanje gore navedenih nedostataka moglo bi dovesti do pada aplikacije, otkrivanja sadržaja memorije, pa čak i oporavka poruka otvorenog teksta poslanih preko mreže korištenjem prednosti lateralnog kanala zasnovanog na vremenu u napadu u Bleichenbacher stilu.
Ispravke stižu skoro dva mjeseca nakon što je OpenSSL uklonio propust niske ozbiljnosti (CVE-2022-3996) koji nastaje prilikom obrade X.509 certifikata, što dovodi do stanja uskraćivanja usluge.
Izvor: The Hacker News