Atualização da Inuvika referente a CVE-2022-3786 e CVE-2022-3602: X.509 (estouro de buffer de endereço de e-mail OpenSSL)
Visão geral
As versões afetadas do pacote OpenSSL são vulneráveis ao estouro de buffer. Um estouro de buffer pode ser acionado na verificação de certificados X.509, especificamente na verificação de restrições de nomes. Observe que isso ocorre após a verificação da assinatura da cadeia de certificados e requer que uma CA tenha assinado o certificado malicioso ou que o aplicativo continue a verificação do certificado apesar da falha na construção de um caminho para um emissor confiável. Um invasor pode criar um endereço de e-mail mal-intencionado para estourar quatro bytes controlados pelo invasor na pilha. Esse estouro de buffer pode resultar em uma falha (causando uma negação de serviço) ou na possível execução remota de código.
Em um cliente TLS, isso pode ser acionado ao se conectar a um servidor mal-intencionado.
Em um servidor TLS, isso pode ser acionado se o servidor solicitar a autenticação do cliente e um cliente mal-intencionado se conectar.
Observação: os pré-anúncios do CVE-2022-3602 descreveram esse problema como CRÍTICO. Uma análise mais aprofundada, baseada em alguns dos fatores atenuantes descritos acima, fez com que esse problema fosse rebaixado para ALTO. Os usuários ainda são incentivados a atualizar para uma nova versão o mais rápido possível.
Impacto na empresa OVD
Os problemas identificados não afetam diretamente os componentes de serviço do OVD Enterprise. No entanto, os clientes são aconselhados a verificar a versão do OpenSSL instalada em seus servidores Linux usando o seguinte comando (com exemplo de saída):
% versão openssl
OpenSSL 3.0.5 5 jul 2022 (Biblioteca: OpenSSL 3.0.5 5 jul 2022)
Essa vulnerabilidade afetará apenas o OpenSSL 3.0.x e não o 1.1.1
A Inuvika continua analisando a situação e aconselhará nossos clientes sobre quaisquer impactos diretos nos produtos ou serviços da Inuvika.
Recomendação atual para clientes do OVD Enterprise
A Inuvika recomenda que os clientes sigam as práticas recomendadas de TI e realizem as atualizações de manutenção recomendadas pelo fornecedor assim que forem lançadas.
Os clientes que usam uma versão afetada do OpenSSL 3.0.x são aconselhados a atualizar para o OpenSSL 3.0.7 o mais rápido possível.
Depois que um patch for aplicado, verifique se o componente está funcionando conforme o esperado.
Recursos
O OpenSSL lançou a versão 3.0.7 em 1º de novembro de 2022: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
SANS Internet Storm Center: a Lista de distribuições Linux afetadas
DistroWatch: a Lista de distribuições Linux afetadas
Inuvika Recursos de suporte
Nas notícias
Aviso da OpenSSL
Lista de discussão do OpenSSL