Jak oznamuje Národní úřad pro kybernetickou a informační bezpečnost, nově vydaná knihovna OpenSSL ve verzi 3.0.7 opravuje zranitelnosti CVE-2022-3602 a CVE-2022-3786, obě označené na stupnici závažnosti zranitelnosti stupněm Vysoká. Tyto zranitelnosti byly do knihovny začleněny až od verze 3.0.0. Starší a stále velmi rozšířené verze knihovny 1.0 a 1.1 nejsou těmito zranitelnostmi zasaženy.
Obě zranitelnosti byly způsobeny chybnou konverzí e-mailové adresy nacházející se v X.509 certifikátech a týkají se využití knihovny jak na straně serveru, tak na straně klienta. Potenciální útočník tak může pomocí speciálně vytvořeného certifikátu způsobit pád aplikace, a tím odepření služby, ve specifických situacích i vzdálené spuštění kódu.
jak dále uvádí NÚKIB, původně vývojáři oznámili, že závažnost těchto zranitelností bude označena jako kritická. Díky moderním mitigačním technikám použitým v nových operačních systémech je ale zneužití těchto zranitelností ke vzdálenému spuštění kódu obtížné až nemožné. Zranitelnost byla do kódu začleněna až ve verzi 3.0.0 vydané v roce 2021, a proto se dá předpokládat, že je využívána primárně na operačních systémech, u kterých jsou tyto mitigační techniky aktivní.
I tak se ale doporučuje systémy a aplikace využívající tuto knihovnu aktualizovat co nejdříve. Proof of Concept (PoC) zneužití těchto zranitelností k pádu aplikace jsou již veřejně dostupné.
Seznam vybraných systémů obsahující OpenSSL 3
Red Hat Enterprise Linux verze 9 a jeho deriváty (Oracle Linux 9, Rocky Linux 9, AlmaLinux 9)
CentOS 9 Stream
Ubuntu 22.04 a vyšší
Fedora 36
Kontejnery založené na těchto operačních systémech
VMware ESXi 8.0
VMware Photon OS 4
Aplikace využívající Node.js v18.x nebo v19.x
Ověření nainstalované verze na operačním systému Linux je možné pomocí příkazu ‘openssl version’.
Knihovna taktéž může být přímou součástí různých aplikací pro různé systémy.
Zdroj: NÚKIB