Mise à jour Inuvika concernant CVE-2022-3786 et CVE-2022-3602 : X.509 (OpenSSL Email Address Buffer Overflows)
Vue d'ensemble
Les versions concernées du paquetage OpenSSL sont vulnérables à un débordement de mémoire tampon. Un dépassement de tampon peut être déclenché lors de la vérification des certificats X.509, en particulier lors de la vérification des contraintes de nom. Notez que cela se produit après la vérification de la signature de la chaîne de certificats et nécessite qu'une autorité de certification ait signé le certificat malveillant ou que l'application poursuive la vérification du certificat malgré l'échec de la construction d'un chemin vers un émetteur de confiance. Un attaquant peut créer une adresse électronique malveillante pour déborder quatre octets contrôlés par l'attaquant sur la pile. Ce dépassement de mémoire tampon peut entraîner un plantage (provoquant un déni de service) ou potentiellement l'exécution de code à distance.
Dans un client TLS, ce phénomène peut être déclenché par la connexion à un serveur malveillant.
Dans un serveur TLS, cela peut être déclenché si le serveur demande l'authentification du client et qu'un client malveillant se connecte.
Note : Les annonces préalables de CVE-2022-3602 décrivaient ce problème comme étant CRITIQUE. Une analyse plus approfondie basée sur certains des facteurs d'atténuation décrits ci-dessus a conduit à la rétrogradation de ce problème au niveau HAUT. Les utilisateurs sont toujours encouragés à passer à une nouvelle version dès que possible.
Impact sur l'entreprise OVD
Les problèmes identifiés n'ont pas d'impact direct sur les composants du service OVD Enterprise. Cependant, il est conseillé aux clients de vérifier la version d'OpenSSL installée sur leurs serveurs Linux à l'aide de la commande suivante (avec un exemple de sortie) :
% version openssl
OpenSSL 3.0.5 5 Jul 2022 (Bibliothèque : OpenSSL 3.0.5 5 Jul 2022)
Cette vulnérabilité n'affecte que OpenSSL 3.0.x et non 1.1.1.
Inuvika continue d'examiner la situation et informera ses clients de tout impact direct sur les produits et services d'Inuvika.
Recommandation actuelle pour les clients d'OVD Enterprise
Inuvika recommande à ses clients de suivre les meilleures pratiques informatiques et d'effectuer les mises à jour de maintenance recommandées par le fournisseur au fur et à mesure qu'elles sont publiées.
Il est conseillé aux clients qui utilisent une version 3.0.x d'OpenSSL affectée de mettre à jour vers OpenSSL 3.0.7 dès que possible.
Après l'application d'un correctif, vérifiez que le composant fonctionne comme prévu.
Ressources
OpenSSL a publié la version 3.0.7 le 1er novembre 2022 : https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
SANS Internet Storm Center : a Liste des distributions Linux concernées
DistroWatch : a Liste des distributions Linux concernées
Inuvika Ressources de soutien
Dans l'actualité
Avis d'OpenSSL
Liste de diffusion OpenSSL