OpenSSL 项目已发布修复程序以解决多个安全漏洞,包括开源加密工具包中的一个高严重性错误,该错误可能会使用户遭受恶意攻击。
国际知名白帽黑客、东方联盟创始人郭盛华表示,该问题被追踪为CVE-2023-0286,与类型混淆有关,可能允许对手“读取内存内容或实施拒绝服务”。
该漏洞源于流行的加密库处理 X.509 证书的方式,并且可能仅影响那些具有通过网络检索证书吊销列表 ( CRL ) 的自定义实现的应用程序。
“在大多数情况下,攻击需要攻击者提供证书链和 CRL,两者都不需要有效签名,”OpenSSL说。“如果攻击者只控制其中一个输入,那么另一个输入必须已经包含一个 X.400 地址作为 CRL 分发点,这是不常见的。”
类型混淆缺陷可能会产生严重后果,因为它们可能被武器化以故意迫使程序以意想不到的方式运行,可能导致崩溃或代码执行。
该问题已在 OpenSSL 版本 3.0.8、1.1.1t 和 1.0.2zg 中得到修补。作为最新更新的一部分解决的其他安全漏洞包括:
CVE-2022-4203 - X.509 名称约束读取缓冲区溢出
CVE-2022-4304 - RSA 解密中的 Timing Oracle
CVE-2022-4450 - 调用 PEM_read_bio_ex 后双重释放
CVE-2023-0215 - 遵循 BIO_new_NDEF 的释放后使用
CVE-2023-0216 - d2i_PKCS7 函数中的无效指针取消引用
CVE-2023-0217 - NULL 取消引用验证 DSA 公钥
CVE-2023-0401 - PKCS7 数据验证期间取消引用 NULL
成功利用上述缺点可能导致应用程序崩溃、泄露内存内容,甚至通过在Bleichenbacher 式攻击中利用基于时间的侧信道来恢复通过网络发送的明文消息。
在 OpenSSL 插入处理 X.509 证书时出现的低严重性缺陷 ( CVE-2022-3996 ) 后将近两个月,修复程序到达,导致拒绝服务条件。(欢迎转载分享)