Das OpenSSL-Projekt hat Korrekturen veröffentlicht, um mehrere Sicherheitslücken zu beheben, einschließlich eines hochgradigen Fehlers im Open-Source-Verschlüsselungs-Toolkit, der Benutzer möglicherweise bösartigen Angriffen aussetzen könnte.
Tracked as CVE-2023-0286, the issue relates to a case of type confusion that may permit an adversary to „read memory contents or enact a denial-of-service,“ the maintainers said in an advisory.
Die Schwachstelle liegt in der Art und Weise begründet, wie die beliebte kryptografische Bibliothek mit X.509-Zertifikaten umgeht, und wirkt sich wahrscheinlich nur auf solche Anwendungen aus, die eine benutzerdefinierte Implementierung zum Abrufen einer Zertifikatswiderrufsliste (CRL) über ein Netzwerk haben.
„In den meisten Fällen erfordert der Angriff, dass der Angreifer sowohl die Zertifikatskette als auch die CRL zur Verfügung stellt, die beide keine gültige Signatur haben müssen“, sagte OpenSSL . „Wenn der Angreifer nur einen dieser Eingänge kontrolliert, muss der andere Eingang bereits eine X.400-Adresse als CRL-Verteilungspunkt enthalten, was ungewöhnlich ist.“
Typverwechslungsfehler können schwerwiegende Folgen haben, da sie als Waffe eingesetzt werden können, um das Programm absichtlich zu einem unbeabsichtigten Verhalten zu zwingen, das möglicherweise einen Absturz oder die Ausführung von Code verursacht.
The issue has been patched in OpenSSL versions 3.0.8, 1.1.1t, and 1.0.2zg. Other security flaws addressed as part of the latest updates include:
Erfolgreiches Ausnutzen der oben genannten Schwachstellen könnte zu einem Absturz der Anwendung führen, Speicherinhalte offenlegen und sogar über ein Netzwerk gesendete Klartextnachrichten wiederherstellen, indem ein Zeit-basierter Seitenkanal in einem Angriff im Stil von Bleichenbacher ausgenutzt wird.
Die Korrekturen kommen fast zwei Monate, nachdem OpenSSL eine Schwachstelle mit geringem Schweregrad (CVE-2022-3996) geschlossen hat, die bei der Verarbeitung eines X.509-Zertifikats auftritt und zu einer Denial-of-Service-Situation führt.