Technology

OpenSSL tunduk pada kerusakan memori jarak jauh – Keamanan

Seorang peneliti keamanan telah memicu kontroversi di komunitas OpenSSL, mengklaim bahwa ia telah menemukan kerentanan keamanan dalam versi yang dirilis minggu lalu.

Guido Vranken menulis blog bahwa OpenSSL 3.0.4, yang dikirimkan pada 21 Juni, memiliki kerusakan memori yang dia klaim “dapat dipicu oleh penyerang”.

Versi OpenSSL itu dirilis untuk mengatasi CVE-2022-1292, kerentanan berperingkat sedang yang terkait dengan sanitasi masukan dan diperlukan karena perbaikan sebelumnya tidak berhasil.

Menurut Vranken, bug yang dia laporkan hanya memengaruhi sistem yang menggunakan prosesor yang menerapkan dukungan AVX512 (Intel’s Advanced Vector Extensions 512), dan itu tidak memengaruhi cabang OpenSSL 1.1.1, BoringSSL atau LibreSSL.

Dalam posting yang sangat teknis yang menggambarkan bagaimana dia menemukan potensi kerusakan memori, Vranken menulis: “Jika eksploitasi RCE mungkin, ini membuatnya lebih buruk daripada Heartbleed dalam penilaian keparahan yang terisolasi, meskipun radius ledakan potensial dibatasi oleh fakta bahwa banyak orang masih menggunakan pohon 1.1.1 daripada 3, libssl telah bercabang ke LibreSSL dan BoringSSL, kerentanan hanya ada selama seminggu (HB ada selama bertahun-tahun) dan CPU berkemampuan AVX512 diperlukan.”

Namun, ada keraguan tentang apakah itu kerentanan atau hanya crash.

Sebagai pengembang OpenSSL Foundation Tomáš Mráz berkomentar di Github: “Saya tidak berpikir ini adalah kerentanan keamanan. Ini hanya bug serius yang membuat rilis 3.0.4 tidak dapat digunakan pada mesin yang mendukung AVX512.”

Pengembang Alex Gaynor menjawab: “Saya tidak yakin saya mengerti bagaimana itu bukan kerentanan keamanan. Ini adalah heap buffer overflow yang dapat dipicu oleh hal-hal seperti tanda tangan RSA, yang dapat dengan mudah terjadi dalam konteks jarak jauh (misalnya jabat tangan TLS).”

Sementara perbaikan tersedia melalui GitHub dan dijanjikan di OpenSSL 3.0.5, tanggal rilis tersebut belum ditetapkan.

Posted By : pengeluaran hk hari ini 2021