OpenSSL 3.0.7 is nu beschikbaar. Het development team adviseert gebruikers om zo snel mogelijk te updaten vanwege twee high-risk kwetsbaarheden in eerdere versies.

OpenSSL 3.0.7 werd vorige week aangekondigd als kritieke securitypatch. De opgeloste kwetsbaarheden zijn CVE-2022-3786 en CVE-2022-3602. Beide kwetsbaarheden stellen aanvallers in staat om buffer overflows op clients te forceren.

Een van de twee kwetsbaarheden werd vorige week gecategoriseerd als kritiek. Nader onderzoek wijst uit dat de stack van de meeste moderne platforms beveiligt tegen remote code execution en crashes. Vandaar is de categorisering gewijzigd naar high-risk.

Van kritiek naar high-risk

Het OpenSSL Security Team beschreef de nieuwe release in een blogpost. De developers benadrukken dat CVE-2022-3602 oorspronkelijk door het OpenSSL-project werd beoordeeld als kritiek. De kwetsbaarheid betreft een 4-byte buffer overflow. Dergelijke kwetsbaarheiden leiden vaak tot remote code execution (RCE).

In de afgelopen week hebben verschillende organisaties tests uitgevoerd en feedback aangeleverd. Uit de feedback blijkt dat de stack van meerdere Linux-distributies ervoor zorgt dat de overflow een aangrenzende buffer overschrijft die nog niet in gebruik is. Als gevolg kan de kwetsbaarheid geen crash of remote code execution veroorzaken.

Bovendien merkte het OpenSSL Security Team op dat veel moderne platforms stack overflow-beveiligingen implementeren om het risico van remote code execution en crashes te beperken. Op basis daarvan is de dreiging van kritiek naar high-risk verlaagd. De tweede kwetsbaarheid (CVE-2022-3602) is nooit als kritiek beoordeeld en werd reeds als high-risk beschouwd.

Geen misbruik in de praktijk

Tot slot wierp het OpenSSL Security Team een licht op de regelmaat waarmee de kwetsbaarheden in de praktijk worden misbruikt. “We zijn ons niet bewust van werkende exploits die kunnen leiden tot remote code execution”, schreef het team. “Op het moment van schrijven hebben we geen bewijs dat de kwetsbaarheid worden uitgebuit in de praktijk.”