Il team di progetto OpenSSL
ha recentemente annunciato il rilascio della versione 3.0.7 openssl, da rendere disponibile il 1 ° novembre tra 1300-1700 UTC. L'aggiornamento è una soluzione di sicurezza per una vulnerabilità di OpenSSL 3.0.x. si consiglia vivamente agli sviluppatori e agli amministratori di applicare le patch a tutte le istanze di OpenSSL 3 nel proprio ambiente quando la correzione viene rilasciata martedì.
Questo articolo verrà aggiornato al momento della disponibilità di ulteriori informazioni.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Il 1 ° novembre 2022, OpenSSL ha pubblicato un servizio di
consulenza su cve-2022-3786 ("overflow del buffer a lunghezza variabile per l'indirizzo email x. 509") e cve-2022-3602 ("x. 509 indirizzo Email con overflow del buffer a 4 byte"). CVE-2022-3602 è stato inizialmente valutato dal progetto OpenSSL come critico, ma in seguito è stato ridotto a un livello di gravità elevato. Ulteriori informazioni su questo problema sono disponibili nel relativo post del
BlogOpenSSL. Ulteriori informazioni possono essere trovate in questo
post del Blogdi Trellix.
Anche il Bollettino sulla sicurezza
SB10390 è ora disponibile.
CVE-2022-3602
Un sovraccarico buffer può essere attivato nella verifica del certificato X. 509, in particolare nel controllo dei vincoli dei nomi. Si noti che ciò si verifica dopo la verifica della firma della catena di certificati e richiede che un'autorità di certificazione abbia firmato un certificato malevolo o che un'applicazione continui la verifica del certificato nonostante la mancata creazione di un percorso a un'autorità emittente affidabile. Un aggressore può creare un indirizzo email malevolo in un certificato per overflow di un numero arbitrario di byte che contengono il carattere ' .' (Decimal 46) nella stack. Questo buffer overflow potrebbe causare un arresto anomalo (causando un denial of service). In un client TLS, questo può essere attivato collegandosi a un server dannoso. In un server TLS, questo può essere attivato se il server richiede l'autenticazione client e si connette un client dannoso.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3602
https://CVE.Mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3602
CVE-2022-3786
Un sovraccarico buffer può essere attivato nella verifica del certificato X. 509, in particolare nel controllo dei vincoli dei nomi.
Si noti che ciò si verifica dopo la verifica della firma della catena di certificati e richiede che un'autorità di certificazione abbia firmato un certificato malevolo o che un'applicazione continui la verifica del certificato nonostante la mancata creazione di un percorso a un'autorità emittente affidabile. Un aggressore può creare un indirizzo email malevolo in un certificato per overflow di un numero arbitrario di byte che contengono il carattere ' .' (Decimal 46) nella stack. Questo buffer overflow potrebbe causare un arresto anomalo (causando un denial of service). In un client TLS, questo può essere attivato collegandosi a un server dannoso. In un server TLS, questo può essere attivato se il server richiede l'autenticazione client e si connette un client dannoso.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3786
https://CVE.Mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786