O Projecto OpenSSL lançou correcções para resolver várias falhas de segurança, incluindo um bug de alta variedade no kit de ferramentas de encriptação de código aberto que poderia potencialmente expor os utilizadores a ataques maliciosos.
Rastreado como CVE-2023-0286A questão diz respeito a um caso de confusão de tipo que pode permitir a um adversário “ler conteúdos de memória ou decretar uma negação de serviço”, disseram os mantenedores num parecer.
A vulnerabilidade está enraizada na forma como a popular biblioteca criptográfica lida com certificados X.509, e é provável que tenha impacto apenas nas aplicações que têm uma implementação personalizada para a recuperação de uma lista de revogação de certificados (CRL) através de uma rede.
“Na maioria dos casos, o ataque exige que o atacante forneça tanto a cadeia de certificados como a CRL, nenhuma das quais precisa de ter uma assinatura válida,” OpenSSL disse. “Se o atacante controlar apenas uma destas entradas, a outra entrada já deve conter um endereço X.400 como ponto de distribuição CRL, o que é invulgar”.
As falhas de confusão do tipo podem ter consequências gravespois poderiam ser armados para forçar deliberadamente o programa a comportar-se de forma não intencional, possivelmente causando um acidente ou execução de código.
A questão foi corrigida nas versões OpenSSL 3.0.8, 1.1.1t, e 1.0.2zg. Outras falhas de segurança endereçado como parte das últimas actualizações incluem:
- CVE-2022-4203 – X.509 Nome Restrições de leitura do excesso de tampão de leitura
- CVE-2022-4304 – Cronometragem Oracle na Decriptação da RSA
- CVE-2022-4450 – Duplo grátis depois de ligar para PEM_read_bio_ex
- CVE-2023-0215 – Utilização – depois livre de BIO_novo_NDEF
- CVE-2023-0216 – Desreferência de ponteiro inválido nas funções d2i_PKCS7
- CVE-2023-0217 – Desreferência NULL validando a chave pública DSA
- CVE-2023-0401 – Desreferência NULL durante a verificação de dados PKCS7
A exploração bem sucedida das deficiências acima referidas pode levar a uma falha da aplicação, revelar conteúdos de memória e até recuperar mensagens de texto simples enviadas através de uma rede, tirando partido de uma canal lateral baseado no tempo no que é um ataque ao estilo de Bleichenbacher.
As correcções chegam quase dois meses depois de o OpenSSL ter colmatado uma falha de baixa gravidade (CVE-2022-3996) que surge ao processar um certificado X.509, resultando numa condição de negação de serviço.