Dự án OpenSSL mới đây đã phát hành bản vá lỗi để giải quyết một số lỗ hổng bảo mật, bao gồm một lỗ hổng bảo mật nghiêm trọng nằm trong công cụ mã hoá mã nguồn mở có tiềm năng tiết lộ thông tin người dùng cho các cuộc tấn công nguy hiểm.
Với mã theo dõi là CVE-2023-0286, lỗ hổng bảo mật này liên quan đến một trường hợp nhầm lẫn về phân loại và có thể cho phép tin tặc “đọc nội dung bộ nhớ hoặc thực hiện các cuộc tấn công từ chối dịch vụ”, Theo các nhà nghiên cứu bảo mật.
Lỗ hổng bắt nguồn từ cách thư viện mật mã phổ biến xử lý chứng chỉ X.509 và có khả năng chỉ ảnh hưởng đến những ứng dụng có triển khai tùy chỉnh để truy xuất danh sách thu hồi chứng chỉ (CRL) qua mạng.
OpenSSL cho biết: “Trong hầu hết các trường hợp, cuộc tấn công yêu cầu kẻ tấn công cung cấp cả chuỗi chứng chỉ và CRL, cả hai đều không cần phải có chữ ký hợp lệ”. “Nếu kẻ tấn công chỉ kiểm soát một trong những đầu vào này, thì đầu vào khác phải chứa địa chỉ X.400 dưới dạng điểm phân phối CRL, điều này không phổ biến.”
lỗ hổng này có thể gây ra hậu quả nghiêm trọng, vì chúng có thể được vũ khí hóa để cố tình buộc chương trình hoạt động theo những cách ngoài ý muốn, có thể gây ra sự cố hoặc thực thi mã.
hiện tại, lỗ hổng bảo mật này đã được vá trong các phiên bản OpenSSL 3.0.8, 1.1.1t và 1.0.2zg. Các lỗi bảo mật khác được giải quyết như một phần của các bản cập nhật mới nhất bao gồm:
- CVE-2022-4203 – X.509 Name Constraints Read Buffer Overflow
- CVE-2022-4304 – Timing Oracle in RSA Decryption
- CVE-2022-4450 – Double free after calling PEM_read_bio_ex
- CVE-2023-0215 – Use-after-free following BIO_new_NDEF
- CVE-2023-0216 – Invalid pointer dereference in d2i_PKCS7 functions
- CVE-2023-0217 – NULL dereference validating DSA public key
- CVE-2023-0401 – NULL dereference during PKCS7 data verification
Việc khai thác thành công những thiếu sót trên có thể dẫn đến sự cố ứng dụng, tiết lộ nội dung bộ nhớ và thậm chí khôi phục các tin nhắn văn bản gốc được gửi qua mạng bằng cách tận dụng kênh phụ dựa trên thời gian trong cuộc tấn công kiểu Bleichenbacher.
Các bản sửa lỗi được phát hành gần hai tháng sau khi OpenSSL phát hiện một lỗ hổng nghiêm trọng (CVE-2022-3996) phát sinh khi xử lý chứng chỉ X.509, dẫn đến tình trạng từ chối dịch vụ.
