[TLP:CLEAR] OpenSSL upozorňuje na 1 zranitelnost

OpenSSL upozorňuje na zranitelnost, která umožňuje zápis mimo hranice alokované paměti. Vzhledem k nižší závažnosti tohoto problému nebudou v současnosti vydány nové verze OpenSSL. Oprava bude zahrnuta do příštího vydání každé větve, jakmile bude k dispozici, a to ve verzích 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb a 1.0.2zl [1]. Opravy jsou však již dostupné v OpenSSL git repozitáři v commitu c0d3e4d3 (pro verzi 3.3) [2], commitu bc7e04d7 (pro verzi 3.2) [3], commitu fdf67233 (pro verzi 3.1) [4] a commitu 72ae83ad (pro verzi 3.0) [5]. Zákazníkům prémiové podpory je oprava dostupná v commitu 8efc0cba (pro verzi 1.1.1) [6] a v commitu 9d576994 (pro verzi 1.0.2) [7]. Slackware vydal opravu v rámci SSA:2024-295-01 - openssl-1.1.1zb [8].

OpenSSL - out-of-bounds memory write (CVE-2024-9143)

Použití nízkoúrovňových API pro eliptické křivky GF(2^m), jako jsou EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params() a funkce BN_GF2m_*, s nedůvěryhodnými explicitními hodnotami pro polynomy pole může vést k out-of-bounds paměťovým přístupům, což může způsobit pád aplikace nebo potenciálně vzdálené spuštění kódu. Všechny známé protokoly využívající ECC podporují pouze "pojmenované křivky" nebo bezpečné X9.62 kódování binárních křivek v ECC klíčích v X.509 certifikátech, takže pravděpodobnost zranitelnosti je nízká. Riziko hrozí hlavně u aplikací využívajících "exotické" kódování křivek s neplatnými polynomy [1].

Zranitelnost se nachází v produktu OpenSSL ve verzích (>=3.3.0 AND <3.3.3) OR (>=3.2.0 AND <3.2.4) OR (>=3.1.0 AND <3.1.8) OR (>=3.0.0 AND <3.0.16) OR (>=1.1.1 AND <1.1.1zb) OR (>=1.0.2 AND <1.0.2zl).

Více informací:

Zranitelnost byla veřejně oznámena 16. 10. 2024.

Publikovala Michaela Jarošová dne 23. 10. 2024.

CESNET CERTS Logo