Desde Linux Darkcrizt  

OpenSSL 3.0.7 llega a solucionar un problema de desbordamiento de búfer 

OpenSSL_logo

OpenSSL es un proyecto de software libre basado en SSLeay. 

Se dio a conocer información sobre la liberación de una versión correctiva de la biblioteca criptográfica OpenSSL 3.0.7, que corrige dos vulnerabilidades las cuales y razón por la que se lanzó esta versión correctiva es por el desbordamiento de búfer explotado al validar certificados X.509.

Cabe mencionar que ambos problemas son causados ​​por un desbordamiento de búfer en el código para validar el campo de dirección de correo electrónico en los certificados X.509 y podrían provocar la ejecución del código al procesar un certificado especialmente diseñado.

En el momento de la publicación de la corrección, los desarrolladores de OpenSSL no habían registrado la existencia de un exploit funcional que pudiera conducir a la ejecución del código del atacante.

Hay un caso en el que los servidores podrían explotarse a través de la autenticación de cliente TLS, lo que puede eludir los requisitos de firma de CA, ya que generalmente no se requiere que los certificados de cliente estén firmados por una CA de confianza. Dado que la autenticación del cliente es rara y la mayoría de los servidores no la tienen habilitada, la explotación del servidor debería ser de bajo riesgo.

Los atacantes podrían aprovechar esta vulnerabilidad dirigiendo al cliente a un servidor TLS malicioso que utiliza un certificado especialmente diseñado para desencadenar la vulnerabilidad.

Aunque el anuncio prepublicado del nuevo lanzamiento mencionaba la existencia de un problema crítico, de hecho, en la actualización publicada, el estado de la vulnerabilidad se redujo a un problema peligroso, pero no crítico.

De acuerdo con las reglas adoptadas en el proyecto, el nivel de severidad se reduce en caso de un problema en configuraciones atípicas o en caso de una baja probabilidad de explotar una vulnerabilidad en la práctica.  En este caso, se redujo el nivel de severidad, ya que la explotación de la vulnerabilidad está bloqueada por los mecanismos de protección contra desbordamiento de pila utilizados en muchas plataformas.

Los anuncios previos de CVE-2022-3602 describieron este problema como CRÍTICO. Análisis adicional basado en algunos de los factores mitigantes descritos anteriormente han llevado a que esto sea degradado a ALTO.

Se sigue animando a los usuarios a actualizar a una nueva versión tan pronto como sea posible. En un cliente TLS, esto puede activarse al conectarse a un malicioso servidor. En un servidor TLS, esto puede activarse si el servidor solicita autenticación de cliente y un cliente malicioso se conecta. Las versiones de OpenSSL 3.0.0 a 3.0.6 son vulnerables a este problema. Los usuarios de OpenSSL 3.0 deben actualizar a OpenSSL 3.0.7.

De los problemas identificados se menciona lo siguiente:

CVE-2022-3602: inicialmente se informó como crítica, una vulnerabilidad provoca un desbordamiento del búfer de 4 bytes al verificar un campo de dirección de correo electrónico especialmente diseñado en un certificado X.509. En un cliente TLS, la vulnerabilidad se puede aprovechar conectándose a un servidor controlado por el atacante. En un servidor TLS, la vulnerabilidad puede aprovecharse si se utiliza la autenticación de cliente mediante certificados. En este caso, la vulnerabilidad se manifiesta en la etapa posterior a la verificación de la cadena de confianza asociada al certificado, es decir El ataque requiere que la autoridad de certificación valide el certificado malicioso del atacante.

CVE-2022-3786: es otro vector de explotación de la vulnerabilidad CVE-2022-3602 identificada durante el análisis del problema. Las diferencias se reducen a la posibilidad de desbordar el búfer en la pila por un número arbitrario de bytes que contengan el carácter «.». El problema se puede utilizar para hacer que una aplicación se bloquee.

Las vulnerabilidades aparecen solo en la rama OpenSSL 3.0.x, las versiones OpenSSL 1.1.1, así como las bibliotecas LibreSSL y BoringSSL derivadas de OpenSSL, no se ven afectadas por el problema. Al mismo tiempo, se generó una actualización de OpenSSL 1.1.1s, que solo contiene correcciones de errores no relacionados con la seguridad.

La rama OpenSSL 3.0 se usa en distribuciones como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Unstable. Se recomienda a los usuarios de estos sistemas que instalen las actualizaciones lo antes posible (Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch).

En SUSE Linux Enterprise 15 SP4 y openSUSE Leap 15.4, los paquetes con OpenSSL 3.0 están disponibles como opción, los paquetes del sistema usan la rama 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 y FreeBSD permanecen en las ramas de OpenSSL 1.x.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.