OpenSSL heeft een nieuwe versie uitgebracht, 3.0.7, die een kritieke kwetsbaarheid oplost in openSSL-versies 3.0.0 tot 3.0.6. Geregistreerde gebruikers kunnen de nieuwste openSSL-versie downloaden vanuit het privé-account.
De kwetsbaarheid is een buffer overflow in de X.509-certificaatverificatie, de code die wordt gebruikt om TLS-certificaten te valideren. De kwetsbaarheid zou kunnen worden misbruikt om remote code execution toe te staan via een kwaadaardig TLS-certificaat; het vereist echter dat het kwaadaardige TLS-certificaat is ondertekend door een vertrouwde CA.
Aangezien certificaatverificatie doorgaans aan de clientzijde plaatsvindt, treft deze kwetsbaarheid vooral clients en niet servers. Er is een geval waarin servers kunnen worden misbruikt via TLS Client Authentication, dat de CA-ondertekeningsvereisten kan omzeilen omdat clientcerts doorgaans niet hoeven te zijn ondertekend door een vertrouwde CA. Aangezien clientauthenticatie zelden voorkomt en de meeste servers het niet hebben ingeschakeld, is het risico op exploitatie van servers laag.
Aanvallers zouden deze kwetsbaarheid kunnen misbruiken door clients naar een kwaadaardige TLS-server te leiden die een speciaal vervaardigd certificaat gebruikt om de kwetsbaarheid te triggeren.
Getroffen versies
De kwetsbaarheid treft alleen OpenSSL-versies 3.0.0 tot 3.0.6, waarbij de patch wordt geleverd in versie 3.0.7. Omdat OpenSSL 3.0.0 in september 2021 is uitgebracht, is het veel minder wijdverspreid dan eerdere versies. Gezien de zeer recente uitgavedatum is het onwaarschijnlijk dat oudere apparaten met een hardgecodeerde OpenSSL-versie kwetsbaar zijn.