OpenSSL Projesi, açık kaynak şifreleme araç setinde kullanıcıları kötü niyetli saldırılara maruz bırakabilecek yüksek önem dereceli bir hata da dahil olmak üzere çeşitli güvenlik kusurlarını gidermek için düzeltmeler yayınladı.
şu şekilde izlendi: CVE-2023-0286Bakım görevlileri bir danışma belgesinde, sorunun, bir rakibin “bellek içeriğini okumasına veya bir hizmet reddi gerçekleştirmesine” izin verebilecek bir tür karışıklığı durumuyla ilgili olduğunu söyledi.
Güvenlik açığı, popüler şifreleme kitaplığının X.509 sertifikalarını işleme biçiminden kaynaklanmaktadır ve büyük olasılıkla yalnızca bir ağ üzerinden sertifika iptal listesi (CRL) almak için özel bir uygulamaya sahip uygulamaları etkileyecektir.
OpenSSL, “Çoğu durumda, saldırı, saldırganın hem sertifika zincirini hem de CRL’yi sağlamasını gerektirir, bunların hiçbirinin geçerli bir imzası olması gerekmez” dedi. “Saldırgan bu girişlerden yalnızca birini kontrol ediyorsa, diğer girişin CRL dağıtım noktası olarak zaten bir X.400 adresi içermesi gerekir ki bu çok yaygın olmayan bir durumdur.”
Tür karışıklığı kusurları, programı kasıtlı olarak istenmeyen şekillerde davranmaya zorlayarak muhtemelen bir çökmeye veya kod yürütülmesine neden olacak şekilde silah haline getirilebileceklerinden ciddi sonuçlar doğurabilir.
Sorun, OpenSSL 3.0.8, 1.1.1t ve 1.0.2zg sürümlerinde yamalanmıştır. En son güncellemelerin bir parçası olarak ele alınan diğer güvenlik kusurları şunları içerir:
- CVE-2022-4203 – X.509 Ad Kısıtlamaları Okuma Arabellek Taşması
- CVE-2022-4304 – Oracle’ı RSA Şifre Çözmede Zamanlama
- CVE-2022-4450 – PEM_read_bio_ex’i aradıktan sonra iki kat ücretsiz
- CVE-2023-0215 – BIO_new_NDEF’i takip ettikten sonra ücretsiz kullanın
- CVE-2023-0216 – d2i_PKCS7 işlevlerinde geçersiz işaretçi başvurusu
- CVE-2023-0217 – DSA genel anahtarını doğrulayan NULL başvuru
- CVE-2023-0401 – PKCS7 veri doğrulaması sırasında NULL başvurusu
Yukarıdaki eksikliklerin başarılı bir şekilde kullanılması, bir uygulamanın çökmesine, bellek içeriğinin açığa çıkmasına ve hatta Bleichenbacher tarzı bir saldırıda zamanlama tabanlı bir yan kanaldan yararlanarak bir ağ üzerinden gönderilen düz metin mesajlarının kurtarılmasına neden olabilir.
Düzeltmeler, OpenSSL’nin bir X.509 sertifikasını işlerken ortaya çıkan ve hizmet reddi durumuna neden olan düşük önem düzeyine sahip bir kusuru (CVE-2022-3996) kapatmasından yaklaşık iki ay sonra gelir.