Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
16-Мар-2022 13:30

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты.
Проблема вызвана ошибкой в функции BN_mod_sqrt(), приводящей к зацикливанию при вычислении квадратного корня по модулю, отличному от простого числа. Функция применяется при разборе сертификатов с ключами на базе эллиптических кривых. Эксплуатация сводится к подстановке в сертификат неверных параметров эллиптической кривой. Так как проблема проявляется на стадии до проверки цифровой подписи сертификата, атака может быть совершена неаутентифицированным пользователем, способным добиться передачи клиентского или серверного сертификата в приложения, использующие OpenSSL.
Уязвимость также затрагивает развиваемую проектом OpenBSD библиотеку LibreSSL, исправление для которой предложено в корректирующих выпусках LibreSSL 3.3.6, 3.4.3 и 3.5.1.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_openssl, #_libressl
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 08:05
Часовой пояс: UTC + 5