Bug 13888

Summary:	[CVE 21] libressl 3.2.0 CVEs found
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Yury <y.tumanov>
Component:	System (kernel, glibc, systemd, bash, PAM...)	Assignee:	ROSA Linux Bugs <bugs>
Status:	RESOLVED NOTABUG	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	blocker
Priority:	Highest	CC:	a.proklov, e.kosachev, s.matveev, v.potapov, victorr2007, y.tumanov
Version:	All	Flags:	y.tumanov: secteam_verified?
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2021-46880, CVE-2022-48437, CVE-2023-35784,
Whiteboard:
Platform:	2021.1	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Yury 2023-10-18 20:28:06 MSK

Please patch CVEs for package libressl version 3.2.0
  
INFO (CVEs are): libressl 3.2.0
 cves found
CVE-2021-46880
Desc: x509/x509_verify.c in LibreSSL before 3.4.2, and OpenBSD before 7.0 errata 006, allows authentication bypass because an error for an unverified certificate chain is sometimes discarded.
Link: https://nvd.nist.gov/vuln/detail/CVE-2021-46880
Severity: CRITICAL
CVE-2022-48437
Desc: An issue was discovered in x509/x509_verify.c in LibreSSL before 3.6.1, and in OpenBSD before 7.2 errata 001. x509_verify_ctx_add_chain does not store errors that occur during leaf certificate verification, and therefore an incorrect error is returned. This behavior occurs when there is an installed verification callback that instructs the verifier to continue upon detecting an invalid certificate.
Link: https://nvd.nist.gov/vuln/detail/CVE-2022-48437
Severity: MEDIUM
CVE-2023-35784
Desc: A double free or use after free could occur after SSL_clear in OpenBSD 7.2 before errata 026 and 7.3 before errata 004, and in LibreSSL before 3.6.3 and 3.7.x before 3.7.3. NOTE: OpenSSL is not affected.
Link: https://nvd.nist.gov/vuln/detail/CVE-2023-35784
Severity: CRITICAL

Comment 1 Vladimir Potapov 2023-10-20 17:50:57 MSK

*** Bug 13756 has been marked as a duplicate of this bug. ***

Comment 2 Vladimir Potapov 2023-10-20 17:51:12 MSK

*** Bug 13551 has been marked as a duplicate of this bug. ***

Comment 3 Vladimir Potapov 2023-12-07 12:09:48 MSK

https://nvd.nist.gov/vuln/detail/CVE-2019-25048 Exploit!
https://nvd.nist.gov/vuln/detail/CVE-2019-25049 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2021-46880 Critical!
https://nvd.nist.gov/vuln/detail/CVE-2021-41581 exploit!

Comment 4 VictorR2007 2024-01-10 14:48:19 MSK

Вообще, libressl version 3.2.0 наверное очень старый.

Уже какое то время получаю такие сообщения с части сайтов при загрузке через wget

HTTP-запрос отправлен. Ожидание ответа… 200 OK
wget: symbol lookup error: wget: undefined symbol: strlcpy, version LIBRESSL

Сейчас только яндекс отдает файлы.

Вот это команда перестала отдавать файлы

wget -v --show-progress -m --level=1 --reject=sig,zip https://download.kde.org/stable/release-service/23.08.4/src/

А эта команда на яндексе пока срабатывает

wget -v --show-progress -m --level=1 --reject=sig,zip https://mirror.yandex.ru/mirrors/ftp.kde.org/stable/release-service/23.08.4/src/

Comment 5 Aleksandr Proklov 2024-01-17 10:22:56 MSK

У нас наложена куча патчей для gost, исправление CVE или обновление версии либы приведет в тому что эти патчи перестанут накладываться. Михаил уже про это говорил ранее.

Я пробовал обновить до 3.6.3 - бесполезно.

Comment 6 Yury 2024-06-11 15:54:37 MSK

По патчу для исправления этой уязвимости (https://github.com/libressl/portable/commit/17c88164016df821df2dff4b2b1291291ec4f28a) видно, что весь исправленный код находится под директивой препроцессора для Windows, следовательно, уязвимость неприменима к нам.
// mikhailnov