Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowe krytyczne podatności w OpenSSL 3.x, okazały się być „tylko” High. CVE-2022-3786 oraz CVE-2022-3602. Szczegóły oraz rekomendacje.
Podatności dotyczą biblioteki OpenSSL w wersjach 3.0.0 – 3.0.6 (włącznie). Wersja 3.0.0 została wydana w listopadzie 2021 roku. Poprzednie wersje nie są podatne.
Jak czytamy, w przypadku obu luk problem występuje w procesie walidacji certyfikatu: A buffer overrun can be triggered in X.509 certificate verification – zatem dotyczy głównie części klienckiej (nie serwerowej).
Badacze wskazują, że nie tak prosto będzie również z przygotowaniem exploita. Najpewniej oba te fakty skłoniły ekipę OpenSSL do zmiany wstępnie ogłaszanej kategorii podatności z Critical na High, chociaż teoretycznie luka może umożliwić wykonanie kodu na podatnym systemie.
Jak sprawdzić, której wersji OpenSSL używam?
Wydaj polecenie: $ openssl version. Trudniej może być wykryć wersję biblioteki dołączonej do gotowego projektu lub urządzenia sieciowego. Przykład:
$ openssl version
OpenSSL 1.1.1n 15 Mar 2022
Jak czy używane przeze mnie urządzenia / projekty są podatne?
Tutaj na bieżąco aktualizowana lista podatnych / nie podatnych rozwiązań.
Która wersja OpenSSL łata luki CVE-2022-3786 oraz CVE-2022-3602?
3.0.7
~Michał Sajdak