Νέο σφάλμα Infinite Loop στο OpenSSL θα μπορούσε να επιτρέψει στους εισβολείς να διακόψουν τους απομακρυσμένους Servers
Οι συντηρητές του OpenSSL έχουν αποστείλει ενημερώσεις κώδικα για να επιλύσουν ένα ελάττωμα ασφαλείας υψηλής σοβαρότητας στη βιβλιοθήκη λογισμικού που θα μπορούσε να οδηγήσει σε κατάσταση Denial of Service (DoS) κατά την ανάλυση των πιστοποιητικών.
Παρακολουθείται ως CVE-2022-0778 (βαθμολογία CVSS: 7,5), το πρόβλημα προκύπτει από την ανάλυση ενός πιστοποιητικού με λανθασμένη μορφή με μη έγκυρες ρητές elliptic-curve παραμέτρους, με αποτέλεσμα αυτό που ονομάζεται "infinite loop". Το ελάττωμα βρίσκεται σε μια συνάρτηση που ονομάζεται BN_mod_sqrt() που χρησιμοποιείται για τον υπολογισμό της αρθρωτής τετραγωνικής ρίζας.
«Δεδομένου ότι η ανάλυση του πιστοποιητικού πραγματοποιείται πριν από την επαλήθευση της υπογραφής του πιστοποιητικού, οποιαδήποτε διαδικασία που αναλύει ένα πιστοποιητικό που παρέχεται εξωτερικά ενδέχεται να υπόκειται σε επίθεση Denial of Service», δήλωσε η OpenSSL σε μια συμβουλευτική που δημοσιεύθηκε στις 15 Μαρτίου 2022.
"Το infinite loop μπορεί επίσης να επιτευχθεί κατά την ανάλυση δημιουργημένων ιδιωτικών κλειδιών, καθώς μπορεί να περιέχουν ρητές elliptic-curve παραμέτρους.
Αν και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι η ευπάθεια έχει εκμεταλλευτεί, υπάρχουν μερικά σενάρια όπου θα μπορούσε να οπλιστεί, όπως όταν οι TLS clients (ή servers) έχουν πρόσβαση σε ένα rogue certificate από κακόβουλο server (ή client) ή όταν οι πιστοποιημένες αρχές αναλύουν αιτήματα πιστοποίησης από συνδρομητές.
Η ευπάθεια επηρεάζει τις εκδόσεις OpenSSL 1.0.2, 1.1.1 και 3.0, οι Project Owners αντιμετώπισαν το ελάττωμα με την κυκλοφορία των εκδόσεων 1.0.2zd (για πελάτες υποστήριξης premium), 1.1.1n και 3.0.2. Το OpenSSL 1.1.0, αν και επηρεάζεται επίσης, δεν θα λάβει επιδιόρθωση καθώς έχει φτάσει στο τέλος του κύκλου ζωής του.
Για την αναφορά του ελαττώματος στις 24 Φεβρουαρίου 2022 πιστώθηκε ο ερευνητής ασφαλείας του Google Project Zero, Tavis Ormandy. Η επιδιόρθωση αναπτύχθηκε από τον David Benjamin από την Google και τον Tomáš Mráz από το OpenSSL.
Το CVE-2022-0778 είναι επίσης το δεύτερο θέμα ευπάθειας OpenSSL που επιλύθηκε από την αρχή του έτους. Στις 28 Ιανουαρίου 2022, οι συντηρητές διόρθωσαν ένα ελάττωμα μέτριας σοβαρότητας (CVE-2021-4160, βαθμολογία CVSS: 5,9) που επηρέαζε τη διαδικασία squaring MIPS32 και MIPS64 της βιβλιοθήκης.