В экстренном порядке выпущены [2] корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость [3], которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.
Проблема выявлена [4] группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux [5], проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах: FreeBSD [6], Ubuntu [7], Gentoo [8], Slackware [9], openSUSE [10], CentOS [11], Scientific Linux [12], Fedora [13], RHEL [14] и Debian [15].
Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически [4] эксплуатация уязвимости возможна только на 64-разрядных системах.
Опасность эксплуатации отмечается для приложений, использующих для разбора MIME-блоков функции SMIME_read_PKCS7 и SMIME_read_CMS, а также любые другие функции, связанные с декодированием DER-блоков через функции на базе BIO (d2i_*_bio) и FILE (d2i_*_fp), например, 2i_X509_bio или d2i_PKCS12_fp. В частности, уязвимости подвержена штатная утилита коммандной строки из состава OpenSSL, которая может быть эксплуатирована при обработке данных в формате DER. Приложения, использующие только процедуры PEM или функции ASN1 (d2i_X509, d2i_PKCS12 и т.п.) не подвержены данной уязвимости. Код, связанный с SSL и TLS, проблеме не подвержен, тем не менее следует обратить внимание, не используют ли приложения кроме SSL/TLS проблемных функций, подобных d2i_X509_bio.
Ссылки:
[1] http://htfl.ru/cat-news-uyazvimosti-po
[2] /out.php?link=http://openssl.org
[3] /out.php?link=http://openssl.org/news/secadv_20120419.txt
[4] /out.php?link=http://seclists.org/fulldisclosure/2012/Apr/210
[5] /out.php?link=http://www.mandriva.com/en/support/security/advisories/?dis=2011&name=MDVSA-2012:060
[6] /out.php?link=http://www.vuxml.org/freebsd/
[7] /out.php?link=https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-April/
[8] /out.php?link=http://www.gentoo.org/security/
[9] /out.php?link=http://www.slackware.com/security/list.php?l=slackware-security&y=2012
[10] /out.php?link=http://lists.opensuse.org/opensuse-security-announce/2012-04/
[11] /out.php?link=http://lists.centos.org/pipermail/centos-announce/2012-April/thread.html
[12] /out.php?link=http://listserv.fnal.gov/scripts/wa.exe?A1=ind1204&L=scientific-linux-errata&T=0
[13] /out.php?link=https://admin.fedoraproject.org/updates/F16/security
[14] /out.php?link=http://rhn.redhat.com/errata/rhel-server-errata.html
[15] /out.php?link=http://www.debian.org/security/