O OpenSSL lançou uma nova versão, a 3.0.7, que corrige uma vulnerabilidade crítica presente nas versões openSSL 3.0.0 a 3.0.6. Usuários registrados podem baixar a versão mais recente do openSSL na conta privada.
A vulnerabilidade é um buffer overflow na verificação do certificado X.509, que é o código usado para validar certificados TLS. A vulnerabilidade poderia, em tese, ser explorada para permitir execução remota de código por meio de um certificado TLS malicioso; entretanto, ela exige que o certificado TLS malicioso seja assinado por uma CA confiável.
Como a verificação de certificado normalmente é feita no lado do cliente, essa vulnerabilidade afeta primariamente clientes, não servidores. Há um caso em que servidores poderiam ser explorados via TLS Client Authentication, que pode contornar a exigência de assinatura por CA, já que certificados de cliente normalmente não precisam ser assinados por uma CA confiável. Como autenticação de cliente é rara e a maioria dos servidores não a tem ativada, a exploração de servidores deve ser de baixo risco.
Atacantes poderiam explorar essa vulnerabilidade direcionando o cliente a um servidor TLS malicioso que use um certificado especialmente elaborado para disparar a vulnerabilidade.
Versões afetadas
A vulnerabilidade afeta apenas as versões OpenSSL 3.0.0 a 3.0.6, com o patch sendo distribuído na versão 3.0.7. Pelo fato de o OpenSSL 3.0.0 ter sido lançado em setembro de 2021, ele é muito menos difundido do que versões anteriores. Dada a data de lançamento bem recente, equipamentos mais antigos com versão do OpenSSL hardcoded provavelmente não são vulneráveis.