Ngày 09 tháng 2 năm 2023Ravie LakshmananMã hóa / Lỗ hổng bảo mật
Dự án OpenSSL đã phát hành các bản sửa lỗi để giải quyết một số lỗi bảo mật, bao gồm một lỗi có mức độ nghiêm trọng cao trong bộ công cụ mã hóa nguồn mở có khả năng khiến người dùng bị tấn công nguy hiểm.
Được theo dõi dưới dạng CVE-2023-0286vấn đề liên quan đến trường hợp nhầm lẫn kiểu có thể cho phép kẻ thù “đọc nội dung bộ nhớ hoặc thực hiện tấn công từ chối dịch vụ”, các nhà bảo trì cho biết trong một lời khuyên.
Lỗ hổng bắt nguồn từ cách thư viện mật mã phổ biến xử lý chứng chỉ X.509 và có khả năng chỉ ảnh hưởng đến những ứng dụng có triển khai tùy chỉnh để truy xuất danh sách thu hồi chứng chỉ (CRL) qua mạng.
OpenSSL cho biết: “Trong hầu hết các trường hợp, cuộc tấn công yêu cầu kẻ tấn công cung cấp cả chuỗi chứng chỉ và CRL, cả hai đều không cần phải có chữ ký hợp lệ”. “Nếu kẻ tấn công chỉ kiểm soát một trong những đầu vào này, thì đầu vào khác phải chứa địa chỉ X.400 dưới dạng điểm phân phối CRL, điều này không phổ biến.”
Lỗi nhầm lẫn loại có thể gây ra hậu quả nghiêm trọng, vì chúng có thể được vũ khí hóa để cố tình buộc chương trình hoạt động theo những cách ngoài ý muốn, có thể gây ra sự cố hoặc thực thi mã.
Sự cố đã được vá trong các phiên bản OpenSSL 3.0.8, 1.1.1t và 1.0.2zg. Các lỗi bảo mật khác được giải quyết như một phần của các bản cập nhật mới nhất bao gồm:
CVE-2022-4203 – Ràng buộc tên X.509 Đọc tràn bộ đệm
CVE-2022-4304 – Thời gian Oracle trong giải mã rsa
CVE-2022-4450 – Nhân đôi miễn phí sau khi gọi PEM_read_bio_ex
CVE-2023-0215 – Sử dụng miễn phí sau BIO_new_NDEF
CVE-2023-0216 – Tham chiếu con trỏ không hợp lệ trong các hàm d2i_PKCS7
CVE-2023-0217 – NULL dereference xác thực khóa công khai DSA
CVE-2023-0401 – Quy định NULL trong quá trình xác minh dữ liệu PKCS7
Việc khai thác thành công những thiếu sót trên có thể dẫn đến sự cố ứng dụng, tiết lộ nội dung bộ nhớ và thậm chí khôi phục các tin nhắn văn bản gốc được gửi qua mạng bằng cách tận dụng kênh phụ dựa trên thời gian trong cuộc tấn công kiểu Bleichenbacher.
Các bản sửa lỗi đến gần hai tháng sau khi OpenSSL cắm một lỗ hổng nghiêm trọng thấp (CVE-2022-3996) phát sinh khi xử lý chứng chỉ X.509, dẫn đến tình trạng từ chối dịch vụ.
