Dự án OpenSSL đã triển khai các bản sửa lỗi để chứa hai lỗ hổng nghiêm trọng cao trong thư viện mật mã được sử dụng rộng rãi có thể dẫn đến việc từ chối dịch vụ (DoS) và thực thi mã từ xa.
Các vấn đề, được theo dõi là CVE-2022-3602 và CVE-2022-3786, đã được mô tả là các lỗ hổng vượt quá bộ đệm có thể được kích hoạt trong quá trình xác minh chứng chỉ X.509 bằng cách cung cấp một địa chỉ email được tạo đặc biệt.
"Trong máy khách TLS, điều này có thể được kích hoạt bằng cách kết nối với một máy chủ độc hại," OpenSSL cho biết trong một lời khuyên cho CVE-2022-3786. "Trong máy chủ TLS, điều này có thể được kích hoạt nếu máy chủ yêu cầu xác thực máy khách và máy khách độc hại kết nối."
OpenSSL là một triển khai mã nguồn mở của các giao thức SSL và TLS được sử dụng để liên lạc an toàn và được đưa vào một số hệ điều hành và một loạt các phần mềm.
Các phiên bản 3.0.0 đến 3.0.6 của thư viện bị ảnh hưởng bởi các lỗi mới, đã được khắc phục trong phiên bản 3.0.7. Cần lưu ý rằng các phiên bản OpenSSL 1.x thường được triển khai không dễ bị tấn công.
Theo dữ liệu được chia sẻ bởi Censys, khoảng 7,062 máy chủ được cho là chạy phiên bản OpenSSL dễ bị ảnh hưởng tính đến ngày 30 tháng 10 năm 2022, với phần lớn các máy chủ đặt tại Mỹ, Đức, Nhật Bản, Trung Quốc, Séc, Anh, Pháp, Nga, Canada và Hà Lan.
Trong khi CVE-2022-3602 ban đầu được coi là một lỗ hổng nghiêm trọng, mức độ nghiêm trọng của nó đã bị hạ cấp xuống Cao, trích dẫn các biện pháp bảo vệ chống tràn ngăn xếp trong các nền tảng hiện đại. Các nhà nghiên cứu bảo mật Polar Bear và Viktor Dukhovni đã được ghi nhận là người đã báo cáo CVE-2022-3602 và CVE-2022-3786 vào ngày 17 và 18 tháng 10 năm 2022.
Dự án OpenSSL lưu ý thêm các lỗi đã được giới thiệu trong OpenSSL 3.0.0 như một phần của chức năng giải mã punycode hiện đang được sử dụng để xử lý các ràng buộc về tên địa chỉ email trong chứng chỉ X.509.
Bất chấp sự thay đổi về mức độ nghiêm trọng, OpenSSL cho biết họ coi "những vấn đề này là lỗ hổng nghiêm trọng và người dùng bị ảnh hưởng được khuyến khích nâng cấp càng sớm càng tốt."
Phiên bản 3.0, bản phát hành hiện tại của OpenSSL, đi kèm với các hương vị hệ điều hành Linux như Ubuntu 22.04 LTS, CentOS, macOS Ventura và Fedora 36, trong số những phiên bản khác. Hình ảnh vùng chứa được xây dựng bằng các phiên bản Linux bị ảnh hưởng cũng bị ảnh hưởng.
Theo một cố vấn do Docker công bố, khoảng 1.000 kho lưu trữ hình ảnh có thể bị ảnh hưởng trên các hình ảnh chính thức khác nhau của Docker và hình ảnh của Nhà xuất bản đã được xác minh Docker.
Lỗ hổng nghiêm trọng cuối cùng được OpenSSL giải quyết là vào tháng 2016 năm 2016, khi nó đóng CVE-2016-6309, một lỗi sử dụng sau khi không có có thể dẫn đến sự cố hoặc thực thi mã tùy ý.
Bộ công cụ phần mềm OpenSSL bị ảnh hưởng đáng chú ý nhất bởi Heartbleed (CVE-2014-0160), một vấn đề xử lý bộ nhớ nghiêm trọng trong việc triển khai tiện ích mở rộng nhịp tim TLS / DTLS, cho phép kẻ tấn công đọc các phần bộ nhớ của máy chủ đích.
SentinelOne nói: "Một lỗ hổng nghiêm trọng trong một thư viện phần mềm như OpenSSL, được sử dụng rộng rãi và rất cơ bản đối với tính bảo mật của dữ liệu trên internet, là một lỗ hổng mà không tổ chức nào có thể bỏ qua. "