OpenSSL v3.0.4, l'ultima versione della libreria open source per le applicazioni che proteggono le comunicazioni, sembra contenere un bug ad alta gravità che potrebbe consentire alle vulnerabilità di eseguire codice dannoso in remoto.
Il problema è che non esiste una prova del concetto, il che significa che non può ancora essere considerata una vulnerabilità a tutti gli effetti, e rimane la domanda se accadrà mai.
I rapporti affermano che questa versione di OpenSSL presenta una vulnerabilità di danneggiamento della memoria sui processori con estensione AVX512 (Advanced Vector Extensions 512). La build è stata rilasciata per correggere una vecchia vulnerabilità di command injection (CVE-2022-2068) che non è riuscita a risolvere un problema ancora più vecchio: CVE-2022-1292.
Vulnerabilità ad alta gravità o no?
Su GitHub, la spiegazione è che quando ossl_rsaz_mod_exp_avx512_x2() chiama bn_reduce_once_in_place(), la chiamata include il valore factor_size, che dovrebbe essere il numero di parole da elaborare.
Tuttavia, il codice precedente inviava una dimensione in bit, che a volte poteva causare l'overflow del buffer dell'heap. Poiché il problema può essere creato tramite un handshake TLS, esiste la possibilità di un abuso all'estremità remota.
Mentre alcuni ricercatori ritengono che ciò giustifichi un punteggio di gravità di 10/10, non tutti sono d'accordo.
Secondo il ricercatore di sicurezza Guido Vranken (si apre in una nuova scheda), questa versione "è suscettibile di corruzione della memoria remota che un utente malintenzionato può innescare banalmente".
Vranken ha aggiunto che l'albero 1.1.1 della libreria è ancora utilizzato, piuttosto che l'albero v3, e che libssl è stato biforcato in LibreSSL e BoringSSL, il che potrebbe rendere le cose più complicate per potenziali aggressori.
Inoltre, il difetto interessa solo i chip x64 con AVX512, rendendo la superficie di attacco ancora più piccola.
D'altra parte, Tomáš Mráz, uno sviluppatore di software presso la OpenSSL Foundation, non crede che questo difetto costituisca una falla di sicurezza.
"Non penso che sia una violazione della sicurezza", ha detto. "È solo un errore fatale. La versione 3.0.4 non può essere utilizzata su macchine compatibili con AVX512."
Da allora il difetto è stato corretto, secondo The Register, anche se OpenSSL 3.0.5 deve ancora essere rilasciato.
- Proteggi le tue installazioni digitali con i migliori programmi antivirus sul mercato
Via: Il Registro (si apre in una nuova scheda)