SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

Objavljeno: 2. 11. 2022

Povzetek

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.

Opis

OpenSSL projekt je 1. 11. 2022 objavil varnostno opozorilo, v katerem so opisali dve različni ranljivosti, ki se pojavljata v knjižnicah različic 3.0.0 do 3.0.6. Ranljivosti CVE-2022-3602 je bila sicer najavljana kot kritična, vendar pa so po bolj natančnem pregledu stopnji znižali na visoko, saj je nekaj okoliščin, ki otežijo neposredno izrabo ranljivosti za zagon programske kode na daljavo. Iste stopnje je tudi ranljivost CVE-2022-3786, ki ima za posledico lahko izpad delovanja sistema. Več tehničnih podrobnosti je na voljo v prispevku The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation podjetja DataDog Security Labs.

Ukrepi

Priporočamo takojšnjo nadgradnjo na različico 3.0.7 za sisteme, ki uporabljajo OpenSSL 3 knjižnico. Pri tem uporabite seznam ranljive programske opreme, ki ga vodi nizozemski NCSC-NL in se redno osvežuje. Na voljo so tudi recepti za iskanje ranljivih knjižnic za različne operacijske sisteme in virtualna okolja.

Povezave

• https://www.openssl.org/news/secadv/20221101.txt
• https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/
• https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
• https://github.com/NCSC-NL/OpenSSL-2022/tree/main/scanning