Site icon Kiber.ba

OpenSSL popravlja nove sigurnosne propuste s najnovijim ažuriranjem

OpenSSL Project je objavio ispravke za rješavanje nekoliko sigurnosnih nedostataka, uključujući i veliku grešku u kompletu alata za šifrovanje otvorenog koda koja bi potencijalno mogla izložiti korisnike malicioznim napadima.

Praćen kao CVE-2023-0286, problem se odnosi na slučaj zabune u tipu koji može dozvoliti hakeru da “čita sadržaj memorije ili izvrši uskraćivanje usluge”, rekli su održavaoci u savjetu.

Ranjivost je ukorenjena u načinu na koji popularna kriptografska biblioteka rukuje X.509 sertifikatima i vjerovatno će uticati samo na one aplikacije koje imaju prilagođenu implementaciju za preuzimanje liste opoziva sertifikata (CRL) preko mreže.

“U većini slučajeva, napad zahtijeva od napadača da obezbijedi i lanac certifikata i CRL, od kojih nijedan ne mora imati valjan potpis”, kaže OpenSSL. “Ako napadač kontroliše samo jedan od ovih ulaza, drugi ulaz već mora sadržavati X.400 adresu kao CRL distribucijsku tačku, što je neuobičajeno.”

Greške u konfuziji tipa mogu imati ozbiljne posljedice, jer bi se mogle koristiti oružjem kako bi se program namjerno natjerao da se ponaša na nenamjeran način, što bi moglo uzrokovati pad ili izvršenje koda.

Problem je zakrpljen u OpenSSL verzijama 3.0.8, 1.1.1t i 1.0.2zg. Ostale sigurnosne propuste riješene u sklopu najnovijih ažuriranja uključuju:

Uspješno iskorištavanje gore navedenih nedostataka moglo bi dovesti do pada aplikacije, otkrivanja sadržaja memorije, pa čak i oporavka poruka otvorenog teksta poslanih preko mreže korištenjem prednosti lateralnog kanala zasnovanog na vremenu u napadu u Bleichenbacher stilu.

Ispravke stižu skoro dva mjeseca nakon što je OpenSSL uklonio propust niske ozbiljnosti (CVE-2022-3996) koji nastaje prilikom obrade X.509 certifikata, što dovodi do stanja uskraćivanja usluge.

Izvor: The Hacker News

Exit mobile version