El 17 de octubre de 2022 se reportó una vulnerabilidad a OpenSSL marcada como CVE-2022-3602 y el día 18 del mismo mes se reportó, mientras se investigaba la anterior, la vulnerabilidad CVE-2022-3786. Ambas fueron corregidas en el lanzamiento de la actualización 3.0.7 de OpenSSL.

Recursos Afectados:

Las versiones de OpenSSL 3.0.0, 3.0.1, 3.0.2, 3.0.3,3.0.4, 3.0.5, 3.0.6 son vulnerables a ambos casos.

NOTA: Las versiones de OpenSSL 1.1.1 y 1.0.2 no son afectadas por estas vulnerabilidades.

Descricpión:

En ambos casos se puede desencadenar un desbordamiento de búfer en la verificación del certificado X.509, específicamente en la verificación de restricciones de nombre. Teniendo en cuenta que esto ocurre después de la verificación de la firma de la cadena de certificados y requiere que una CA haya firmado el certificado malicioso o que la aplicación continúe con la verificación del certificado a pesar de no poder construir una ruta a un emisor confiable.

CVE-2022-3602: Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Este desbordamiento de búfer podría provocar un bloqueo (lo que provocaría una denegación de servicio) o una posible ejecución remota de código. Muchas plataformas implementan protecciones de desbordamiento de pila que mitigarían el riesgo de ejecución remota de código. El riesgo puede mitigarse aún más en función del diseño de la pila para cualquier plataforma/compilador determinado. Los anuncios previos de CVE-2022-3602 describieron este problema como CRÍTICO.

Un análisis posterior basado en algunos de los factores mitigantes descritos anteriormente ha llevado a que se rebaje a ALTO, ya que de acuerdo a las políticas de seguridad de OpenSSL una vulnerabilidad puede ser marcada como crítica si se considera la ejecución de código remoto probable en una situación y de acuerdo a investigaciones por parte de la empresa quedó descartada la posibilidad. Todavía se recomienda a los usuarios que actualicen a una nueva versión lo antes posible.

CVE-2022-3786: Un atacante puede crear una dirección de correo electrónico maliciosa en un certificado para desbordar un número arbitrario de bytes que contengan el carácter `.' (decimal 46) en la pila. Este desbordamiento de búfer podría provocar un bloqueo (provocando una denegación de servicio). Esta vulnerabilidad está marcada como ALTA

Ambas vulnerabilidades pueden activarse si en un servidor TLS, el servidor solicita la autenticación del cliente y se conecta un cliente malintencionado y en un cliente TLS esto puede activarse al conectarse a un servidor malicioso.

Los desarrolladores destacan que no tienen evidencia alguna de explotación de estas vulnerabilidades a día del lanzamiento del aviso el 1ro de noviembre del 2022.

Solución:

Los usuarios de OpenSSL deben actualizar a la versión 3.0.7 lanzada el 1ro de noviembre del 2022 y mantenerse al tanto de los avisos por parte de los desarrolladores.

Referencias:

• https://mta.openssl.org/pipermail/openssl-announce/2022-November.txt
• https://nvd.nist.gov/vuln/detail/CVE-2022-3602
• https://nvd.nist.gov/vuln/detail/CVE-2022-3786
• https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/