Actualización de Inuvika relativa a CVE-2022-3786 y CVE-2022-3602: X.509 (desbordamientos del búfer de direcciones de correo electrónico de OpenSSL)
Visión general
Las versiones afectadas del paquete OpenSSL son vulnerables al desbordamiento del búfer. Puede producirse un desbordamiento de búfer en la verificación de certificados X.509, concretamente en la comprobación de restricciones de nombres. Tenga en cuenta que esto ocurre después de la verificación de la firma de la cadena del certificado y requiere que una CA haya firmado el certificado malicioso o que la aplicación continúe con la verificación del certificado a pesar de no poder construir una ruta a un emisor de confianza. Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Este desbordamiento del búfer podría provocar un bloqueo (causando una denegación de servicio) o potencialmente la ejecución remota de código.
En un cliente TLS, esto puede desencadenarse al conectarse a un servidor malicioso.
En un servidor TLS, esto puede activarse si el servidor solicita la autenticación del cliente y se conecta un cliente malicioso.
Nota: Los anuncios previos de CVE-2022-3602 describían este problema como CRÍTICO. Análisis posteriores basados en algunos de los factores atenuantes descritos anteriormente han hecho que se rebaje a ALTO. Se recomienda a los usuarios que actualicen a una nueva versión lo antes posible.
Impacto en la empresa OVD
Los problemas identificados no afectan directamente a los componentes del servicio OVD Enterprise. Sin embargo, se recomienda a los clientes que comprueben la versión de OpenSSL instalada en sus servidores linux utilizando el siguiente comando (con salida de ejemplo):
% versión de openssl
OpenSSL 3.0.5 5 Jul 2022 (Biblioteca: OpenSSL 3.0.5 5 Jul 2022)
Esta vulnerabilidad sólo afectará a OpenSSL 3.0.x no 1.1.1
Inuvika sigue revisando la situación y asesorará a nuestros clientes sobre cualquier impacto directo en los productos o servicios de Inuvika.
Recomendación actual para clientes de OVD Enterprise
Inuvika recomienda que los clientes sigan las mejores prácticas de TI y realicen las actualizaciones de mantenimiento recomendadas por el proveedor a medida que se publiquen.
Se recomienda a los clientes que utilicen una versión OpenSSL 3.0.x afectada que actualicen a OpenSSL 3.0.7 lo antes posible.
Después de aplicar un parche, compruebe que el componente funciona como se espera.
Recursos
OpenSSL ha lanzado la versión 3.0.7 a partir del 1 de noviembre de 2022: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
SANS Internet Storm Center: a Lista de distribuciones Linux afectadas
DistroWatch: a Lista de distribuciones Linux afectadas
Inuvika Recursos de apoyo
En las noticias
Aviso sobre OpenSSL
Lista de correo de OpenSSL