Sign in Subscribe
Signal AI Gadget Software Security Startup Tutorial Lokal
Security

OpenSSL Rilis Patch Darurat, Celah Use-After-Free Bisa Picu Remote Code Execution

CLB Tech

3 min read
Share
OpenSSL Rilis Patch Darurat, Celah Use-After-Free Bisa Picu Remote Code Execution

CLB.my.id - OpenSSL merilis advisory keamanan darurat pada 9 Juni 2026 untuk menambal celah use-after-free berseverity tinggi pada fungsi PKCS7_verify(). Celah yang diberi nomor CVE-2026-45447 ini berpotensi menyebabkan crash aplikasi, korupsi heap, hingga remote code execution jika dieksploitasi.

OpenSSL adalah pustaka kriptografi open-source yang menjadi tulang punggung keamanan internet. Mayoritas server web, aplikasi enterprise, dan sistem operasi mengandalkan OpenSSL untuk mengenkripsi komunikasi. Ketika celah ditemukan di OpenSSL, dampaknya bisa menjangkau jutaan server dan aplikasi di seluruh dunia.

Bagaimana Celah Bekerja

CVE-2026-45447 ditemukan oleh peneliti keamanan Thai Duong dari Calif.io, bekerja sama dengan Claude dan Anthropic Research, pada 27 April 2026. Celah ini memengaruhi pemrosesan pesan PKCS#7 atau S/MIME yang ditandatangani.

Ketika aplikasi memproses pesan PKCS#7 atau S/MIME, jika field SignedData digestAlgorithms hadir sebagai ASN.1 SET yang kosong, OpenSSL dapat secara keliru membebaskan BIO yang dimiliki oleh pemanggil selama pemanggilan PKCS7_verify(). Penggunaan BIO berikutnya oleh aplikasi menghasilkan kondisi use-after-free.

Dalam kasus umum, hal ini terjadi ketika aplikasi kemudian memanggil BIO_free() pada BIO yang awalnya diteruskan ke PKCS7_verify(). Tergantung pada perilaku alokator dan pola penggunaan BIO yang spesifik, hal ini dapat menyebabkan crash atau korupsi memori lainnya.

Yang mengkhawatirkan, dalam beberapa konteks aplikasi, celah ini berpotensi dieksploitasi untuk remote code execution, artinya penyerang jarak jauh dapat menjalankan kode berbahaya pada sistem target.

Versi yang Terdampak

Celah ini memengaruhi hampir semua versi OpenSSL yang masih digunakan secara luas: OpenSSL 4.0, 3.6, 3.5, 3.4, 3.0, 1.1.1, dan 1.0.2. Cakupan yang sangat luas ini menjadikan CVE-2026-45447 sebagai salah satu celah OpenSSL paling kritis dalam beberapa tahun terakhir.

Namun, modul FIPS dalam versi 4.0, 3.6, 3.5, 3.4, dan 3.0 tidak terpengaruh karena kode yang rentan berada di luar batas modul OpenSSL FIPS. Aplikasi yang menggunakan CMS API untuk pemrosesan pesan juga tidak terpengaruh, hanya yang menggunakan API PKCS#7.

Patch dan Rekomendasi

OpenSSL telah merilis pembaruan untuk setiap versi yang terdampak. Pengguna OpenSSL 4.0 disarankan meningkatkan ke 4.0.1, pengguna 3.6 ke 3.6.3, pengguna 3.5 ke 3.5.7, pengguna 3.4 ke 3.4.6, dan pengguna 3.0 ke 3.0.21.

Untuk pengguna OpenSSL 1.1.1 dan 1.0.2, patch hanya tersedia untuk pelanggan dukungan premium dengan versi 1.1.1zh dan 1.0.2zq. Ini berarti banyak sistem legacy yang menjalankan versi lama OpenSSL berada dalam risiko kecuali mereka memiliki perjanjian dukungan premium.

Bukan Satu-Satunya Celah

Advisory 9 Juni 2026 bukan hanya tentang CVE-2026-45447. OpenSSL juga menambal 17 celah lain dalam rilis yang sama, termasuk beberapa dengan severity moderate.

Salah satu yang menarik perhatian adalah CVE-2026-34182, celah pada pemrosesan CMS AuthEnvelopedData yang dapat menerima pesan yang dipalsukan. Celah ini memungkinkan penyerang yang berada di jalur komunikasi mengirim ulang pesan CMS yang sah dengan modifikasi, sehingga korban dapat mendekripsi konten yang telah diubah tanpa menyadari adanya manipulasi.

Ada juga CVE-2026-34183 yang memengaruhi penanganan QUIC PATH_CHALLENGE, memungkinkan peer jarak jauh menghabiskan memori heap server atau client QUIC hingga menyebabkan denial of service. Celah ini memengaruhi OpenSSL 3.4, 3.5, 3.6, dan 4.0.

Dampak untuk Pengguna dan Administrator

Bagi administrator sistem di Indonesia, prioritas utama adalah mengidentifikasi versi OpenSSL yang berjalan di server mereka dan segera menerapkan patch. Celah use-after-free pada fungsi verifikasi tanda tangan digital adalah masalah serius karena berada di jalur pemrosesan data yang berasal dari pihak luar.

Server yang memproses email S/MIME, dokumen yang ditandatangani secara digital, atau komunikasi PKCS#7 lainnya berada dalam risiko langsung. Perusahaan yang menggunakan email terenkripsi atau sistem tanda tangan digital harus segera memperbarui OpenSSL mereka.

Untuk memeriksa versi OpenSSL yang terpasang, administrator dapat menjalankan perintah openssl version di terminal. Jika versi yang terdaftar termasuk dalam daftar yang terdampak, segera jadwalkan pembaruan.***

Read more