Το OpenSSL ανακοίνωσε την Τρίτη μια ενημερωμένη έκδοση κώδικα ευπάθειας υψηλής σοβαρότητας άρνησης παροχής υπηρεσιών (DoS) που σχετίζεται με την ανάλυση πιστοποιητικών.
Το ελάττωμα, που εντοπίστηκε ως CVE-2022-0778, αναφέρθηκε στο OpenSSL Project από τον ερευνητή ευπάθειας της Google, Tavis Ormandy.
Το κενό ασφαλείας επηρεάζει τις εκδόσεις OpenSSL 1.0.2, 1.1.1 και 3.0 και έχει διορθωθεί με την κυκλοφορία των εκδόσεων 1.0.2zd (για πελάτες υποστήριξης premium), 1.1.1n και 3.0.2. Η έκδοση 1.1.0 επηρεάζεται επίσης, αλλά δεν υποστηρίζεται πλέον και δεν θα λάβει ενημέρωση κώδικα.
Η εκμετάλλευση της ευπάθειας είναι δυνατή σε ορισμένες περιπτώσεις και μπορεί να οδηγήσει σε επίθεση DoS εναντίον μιας διαδικασίας που αναλύει τα εξωτερικά παρεχόμενα πιστοποιητικά.
“Η συνάρτηση BN_mod_sqrt(), η οποία υπολογίζει μια αρθρωτή τετραγωνική ρίζα, περιέχει ένα σφάλμα που μπορεί να την κάνει να κάνει βρόχο για πάντα για non-prime moduli”, εξήγησε το OpenSSL Project στη συμβουλή του. “Εσωτερικά αυτή η συνάρτηση χρησιμοποιείται κατά την ανάλυση πιστοποιητικών που περιέχουν δημόσια κλειδιά ελλειπτικής καμπύλης σε συμπιεσμένη μορφή ή ρητές παραμέτρους ελλειπτικής καμπύλης με ένα σημείο βάσης κωδικοποιημένο σε συμπιεσμένη μορφή.”
«Είναι δυνατό να ενεργοποιήσετε τον άπειρο βρόχο δημιουργώντας ένα πιστοποιητικό που έχει μη έγκυρες ρητές παραμέτρους καμπύλης», αναφέρει η συμβουλευτική.
Το CVE-2022-0778 είναι η δεύτερη ευπάθεια OpenSSL που διορθώθηκε το 2022 — ένα μέτριας σοβαρότητας ζήτημα επιδιορθώθηκε τον Ιανουάριο. Συνολικά οκτώ ελαττώματα επιδιορθώθηκαν το 2021, συμπεριλαμβανομένων τριών που έλαβαν βαθμολογία σοβαρότητας “υψηλή”.
