Bug 13888 - [CVE 21] libressl 3.2.0 CVEs found
Summary: [CVE 21] libressl 3.2.0 CVEs found
Status: RESOLVED NOTABUG
Alias: None
Product: ROSA Fresh
Classification: ROSA-based products
Component: System (kernel, glibc, systemd, bash, PAM...) (show other bugs)
Version: All
Hardware: All Linux
: Highest blocker
Target Milestone: ---
Assignee: ROSA Linux Bugs
URL: CVE-2021-46880, CVE-2022-48437, CVE-2...
Whiteboard:
: 13551 13756 (view as bug list)
Depends on:
Blocks:
 
Reported: 2023-10-18 20:28 MSK by Yury
Modified: 2024-06-11 15:54 MSK (History)
6 users (show)

See Also:
Platform: 2021.1
ROSA Vulnerability identifier:
RPM Package:
Upstream:
y.tumanov: secteam_verified?

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Yury 2023-10-18 20:28:06 MSK 
Please patch CVEs for package libressl version 3.2.0
  
INFO (CVEs are): libressl 3.2.0
 cves found
CVE-2021-46880
Desc: x509/x509_verify.c in LibreSSL before 3.4.2, and OpenBSD before 7.0 errata 006, allows authentication bypass because an error for an unverified certificate chain is sometimes discarded.
Link: https://nvd.nist.gov/vuln/detail/CVE-2021-46880
Severity: CRITICAL
CVE-2022-48437
Desc: An issue was discovered in x509/x509_verify.c in LibreSSL before 3.6.1, and in OpenBSD before 7.2 errata 001. x509_verify_ctx_add_chain does not store errors that occur during leaf certificate verification, and therefore an incorrect error is returned. This behavior occurs when there is an installed verification callback that instructs the verifier to continue upon detecting an invalid certificate.
Link: https://nvd.nist.gov/vuln/detail/CVE-2022-48437
Severity: MEDIUM
CVE-2023-35784
Desc: A double free or use after free could occur after SSL_clear in OpenBSD 7.2 before errata 026 and 7.3 before errata 004, and in LibreSSL before 3.6.3 and 3.7.x before 3.7.3. NOTE: OpenSSL is not affected.
Link: https://nvd.nist.gov/vuln/detail/CVE-2023-35784
Severity: CRITICAL
Comment 1 Vladimir Potapov 2023-10-20 17:50:57 MSK 
*** Bug 13756 has been marked as a duplicate of this bug. ***
Comment 2 Vladimir Potapov 2023-10-20 17:51:12 MSK 
*** Bug 13551 has been marked as a duplicate of this bug. ***
Comment 4 VictorR2007 2024-01-10 14:48:19 MSK 
Вообще, libressl version 3.2.0 наверное очень старый.

Уже какое то время получаю такие сообщения с части сайтов при загрузке через wget

HTTP-запрос отправлен. Ожидание ответа… 200 OK
wget: symbol lookup error: wget: undefined symbol: strlcpy, version LIBRESSL

Сейчас только яндекс отдает файлы.

Вот это команда перестала отдавать файлы

wget -v --show-progress -m --level=1 --reject=sig,zip https://download.kde.org/stable/release-service/23.08.4/src/

А эта команда на яндексе пока срабатывает

wget -v --show-progress -m --level=1 --reject=sig,zip https://mirror.yandex.ru/mirrors/ftp.kde.org/stable/release-service/23.08.4/src/
Comment 5 Aleksandr Proklov 2024-01-17 10:22:56 MSK 
У нас наложена куча патчей для gost, исправление CVE или обновление версии либы приведет в тому что эти патчи перестанут накладываться. Михаил уже про это говорил ранее.

Я пробовал обновить до 3.6.3 - бесполезно.
Comment 6 Yury 2024-06-11 15:54:37 MSK 
По патчу для исправления этой уязвимости (https://github.com/libressl/portable/commit/17c88164016df821df2dff4b2b1291291ec4f28a) видно, что весь исправленный код находится под директивой препроцессора для Windows, следовательно, уязвимость неприменима к нам.
// mikhailnov