Nowe krytyczne podatności w OpenSSL 3.x, okazały się być „tylko” High. CVE-2022-3786 oraz CVE-2022-3602. Szczegóły oraz rekomendacje.

Podatności dotyczą biblioteki OpenSSL w wersjach 3.0.0 – 3.0.6 (włącznie). Wersja 3.0.0 została wydana w listopadzie 2021 roku. Poprzednie wersje nie są podatne.

Jak czytamy, w przypadku obu luk problem występuje w procesie walidacji certyfikatu: A buffer overrun can be triggered in X.509 certificate verification – zatem dotyczy głównie części klienckiej (nie serwerowej).

Badacze wskazują, że nie tak prosto będzie również z przygotowaniem exploita. Najpewniej oba te fakty skłoniły ekipę OpenSSL do zmiany wstępnie ogłaszanej kategorii podatności z Critical na High, chociaż teoretycznie luka może umożliwić wykonanie kodu na podatnym systemie.

Jak sprawdzić, której wersji OpenSSL używam?

Wydaj polecenie: $ openssl version. Trudniej może być wykryć wersję biblioteki dołączonej do gotowego projektu lub urządzenia sieciowego. Przykład:

$ openssl version

OpenSSL 1.1.1n  15 Mar 2022

Jak czy używane przeze mnie urządzenia / projekty są podatne?

Tutaj na bieżąco aktualizowana lista podatnych / nie podatnych rozwiązań.

Która wersja OpenSSL łata luki CVE-2022-3786 oraz CVE-2022-3602?

3.0.7

~Michał Sajdak