Inuvika-Update zu CVE-2022-3786 und CVE-2022-3602: X.509 (OpenSSL-Pufferüberläufe bei E-Mail-Adressen)
Übersicht
Betroffene Versionen des OpenSSL-Pakets sind durch einen Pufferüberlauf verwundbar. Ein Pufferüberlauf kann bei der Überprüfung von X.509-Zertifikaten ausgelöst werden, insbesondere bei der Überprüfung von Namensbeschränkungen. Beachten Sie, dass dies nach der Überprüfung der Signatur der Zertifikatskette auftritt und erfordert, dass entweder eine Zertifizierungsstelle das bösartige Zertifikat signiert hat oder dass die Anwendung die Zertifikatsüberprüfung fortsetzt, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden kann. Ein Angreifer kann eine bösartige E-Mail-Adresse so gestalten, dass vier vom Angreifer kontrollierte Bytes auf dem Stack überlaufen. Dieser Pufferüberlauf kann zu einem Absturz (und damit zu einer Dienstverweigerung) oder möglicherweise zur Ausführung von Remotecode führen.
Bei einem TLS-Client kann dies durch die Verbindung mit einem bösartigen Server ausgelöst werden.
Bei einem TLS-Server kann dies ausgelöst werden, wenn der Server eine Client-Authentifizierung anfordert und ein bösartiger Client eine Verbindung herstellt.
Hinweis: In den Vorankündigungen zu CVE-2022-3602 wurde dieses Problem als KRITISCH eingestuft. Weitere Analysen, die auf einigen der oben beschriebenen abschwächenden Faktoren basieren, haben dazu geführt, dass dieses Problem auf HOCH herabgestuft wurde. Den Benutzern wird weiterhin empfohlen, so bald wie möglich auf eine neue Version zu aktualisieren.
Auswirkungen auf OVD Enterprise
Die festgestellten Probleme wirken sich nicht direkt auf die OVD Enterprise-Dienstkomponenten aus. Den Kunden wird jedoch empfohlen, die auf ihren Linux-Servern installierte Version von OpenSSL mit dem folgenden Befehl (mit Beispielausgabe) zu überprüfen:
% openssl-Version
OpenSSL 3.0.5 5 Jul 2022 (Bibliothek: OpenSSL 3.0.5 5 Jul 2022)
Diese Sicherheitslücke betrifft nur OpenSSL 3.0.x, nicht 1.1.1
Inuvika prüft die Situation weiter und wird seine Kunden über alle direkten Auswirkungen auf die Produkte und Dienstleistungen von Inuvika informieren.
Aktuelle Empfehlung für OVD Enterprise-Kunden
Inuvika empfiehlt seinen Kunden, die bewährten IT-Verfahren zu befolgen und die vom Hersteller empfohlenen Wartungsupdates durchzuführen, sobald sie veröffentlicht werden.
Kunden, die eine betroffene OpenSSL 3.0.x-Version verwenden, wird empfohlen, so bald wie möglich auf OpenSSL 3.0.7 zu aktualisieren.
Überprüfen Sie nach der Anwendung eines Patches, ob die Komponente wie erwartet funktioniert.
Ressourcen
OpenSSL hat am 1. November 2022 die Version 3.0.7 veröffentlicht: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
SANS Internet Storm Center: a Liste der betroffenen Linux-Distributionen
DistroWatch: a Liste der betroffenen Linux-Distributionen
Inuvika Ressourcen unterstützen
In den Nachrichten
OpenSSL-Beratung
OpenSSL Mailing-Liste