Dự án OpenSSL đã đưa ra các bản sửa lỗi để chứa hai lỗ hổng có mức độ nghiêm trọng cao trong thư viện mật mã được sử dụng rộng rãi có thể dẫn đến việc từ chối dịch vụ (DoS) và thực thi mã từ xa.
Các vấn đề, được theo dõi là CVE-2022-3602 và CVE-2022-3786, đã được mô tả là lỗ hổng vượt bộ đệm có thể được kích hoạt trong quá trình xác minh chứng chỉ X.509 bằng cách cung cấp một địa chỉ email được thiết kế đặc biệt.
“Trong một ứng dụng khách TLS, điều này có thể được kích hoạt bằng cách kết nối với một máy chủ độc hại”, OpenSSL cho biết trong một lời khuyên cho CVE-2022-3786. “Trong máy chủ TLS, điều này có thể được kích hoạt nếu máy chủ yêu cầu xác thực máy khách và một máy khách độc hại kết nối.”
OpenSSL là một triển khai mã nguồn mở của các giao thức SSL và TLS được sử dụng để giao tiếp an toàn và được đưa vào một số hệ điều hành và nhiều loại phần mềm.
Các phiên bản 3.0.0 đến 3.0.6 của thư viện bị ảnh hưởng bởi các lỗi mới, đã được khắc phục trong phiên bản 3.0.7. Cần lưu ý rằng các phiên bản OpenSSL 1.x thường được triển khai không dễ bị tấn công.
Theo dữ liệu được chia sẻ bởi Censys, khoảng 7.062 máy chủ được cho là chạy phiên bản OpenSSL nhạy cảm tính đến ngày 30 tháng 10 năm 2022, với phần lớn các máy chủ đặt tại Hoa Kỳ, Đức, Nhật Bản, Trung Quốc, Séc, Anh, Pháp, Nga, Canada và Hà Lan.
Mặc dù CVE-2022-3602 ban đầu được coi là một lỗ hổng nghiêm trọng, nhưng mức độ nghiêm trọng của nó sau đó đã được hạ cấp xuống Cao, với lý do bảo vệ chống tràn ngăn xếp trong các nền tảng hiện đại. Các nhà nghiên cứu bảo mật Polar Bear và Viktor Dukhovni đã được ghi nhận đã báo cáo CVE-2022-3602 và CVE-2022-3786 vào ngày 17 và 18 tháng 10 năm 2022.
Dự án OpenSSL cũng lưu ý thêm rằng các lỗi đã được giới thiệu trong OpenSSL 3.0.0 như một phần của chức năng giải mã punycode hiện được sử dụng để xử lý các ràng buộc về tên địa chỉ email trong chứng chỉ X.509.
Bất chấp sự thay đổi về mức độ nghiêm trọng, OpenSSL cho biết họ coi “những vấn đề này là lỗ hổng nghiêm trọng và người dùng bị ảnh hưởng được khuyến khích nâng cấp càng sớm càng tốt.”
Phiên bản 3.0, bản phát hành hiện tại của OpenSSL, đi kèm với các phiên bản hệ điều hành Linux như Ubuntu 22.04 LTS, CentOS, macOS Ventura và Fedora 36, trong số những phiên bản khác. Hình ảnh vùng chứa được tạo bằng các phiên bản Linux bị ảnh hưởng cũng bị ảnh hưởng.
Theo một lời khuyên do Docker xuất bản, khoảng 1.000 kho lưu trữ hình ảnh có thể bị ảnh hưởng trên các hình ảnh Docker Official Images và Docker Verified Publisher khác nhau.
Lỗ hổng quan trọng cuối cùng được OpenSSL giải quyết là vào tháng 9 năm 2016, khi nó đóng CVE-2016-6309, một lỗi sử dụng sau khi miễn phí có thể dẫn đến sự cố hoặc thực thi mã tùy ý.
Bộ công cụ phần mềm OpenSSL bị ảnh hưởng đáng kể nhất bởi Heartbleed (CVE-2014-0160), một vấn đề nghiêm trọng về xử lý bộ nhớ trong việc triển khai tiện ích mở rộng nhịp tim TLS / DTLS, cho phép kẻ tấn công đọc các phần bộ nhớ của máy chủ mục tiêu.
SentinelOne nói: “Một lỗ hổng nghiêm trọng trong thư viện phần mềm như OpenSSL, được sử dụng rộng rãi và rất cơ bản đối với bảo mật dữ liệu trên internet, là một lỗ hổng mà không tổ chức nào có thể bỏ qua.
