OpenSSL ha rilasciato una nuova versione, la 3.0.7, che corregge una vulnerabilità critica dalle versioni openSSL 3.0.0 alla 3.0.6. Gli utenti registrati possono scaricare l'ultima versione di openSSL dall'account privato.
La vulnerabilità è un buffer overflow nella verifica dei certificati X.509, ovvero il codice usato per validare i certificati TLS. Potrebbe essere sfruttata per permettere l'esecuzione di codice remoto tramite un certificato TLS malevolo; tuttavia richiede che il certificato TLS malevolo sia firmato da una CA fidata.
Poiché la verifica dei certificati viene tipicamente effettuata sul lato client, questa vulnerabilità colpisce principalmente i client, non i server. C'è un caso in cui i server potrebbero essere sfruttati tramite la TLS Client Authentication, che può aggirare i requisiti di firma CA dato che di solito i certificati client non devono essere firmati da una CA fidata. Poiché l'autenticazione client è rara e la maggior parte dei server non l'ha abilitata, lo sfruttamento lato server dovrebbe presentare un rischio basso.
Gli attaccanti potrebbero sfruttare questa vulnerabilità indirizzando i client verso un server TLS malevolo che usa un certificato appositamente costruito per attivare la vulnerabilità.
Versioni interessate
La vulnerabilità riguarda solo OpenSSL dalla versione 3.0.0 alla 3.0.6; la patch è inclusa nella versione 3.0.7. Dato che OpenSSL 3.0.0 è stato rilasciato a settembre 2021, è molto meno diffuso delle versioni precedenti. Vista la data di rilascio recente, è improbabile che appliance datate con versione di OpenSSL fissata siano vulnerabili.