OpenSSL projekt udstedt en Sikkerhedsrådgivning den 8. december 2020 advarer brugere om en sværhedsgrad med høj sværhedsgrad, der påvirker alle versioner af OpenSSL 1.0.2 og 1.1.1 før version 1.1.1. Denne sårbarhed kan potentielt udnyttes af en angriber i et denial of service-angreb (DoS):
X.509 GeneralName-typen er en generisk type, der repræsenterer forskellige typer navne. En af disse navnetyper er kendt som EDIPartyName. OpenSSL leverer en funktion GENERAL_NAME_cmp, som sammenligner forskellige forekomster af en GENERAL_NAME for at se, om de er lige eller ikke. Denne funktion opfører sig forkert, når begge GENERAL_NAME indeholder et EDIPARTYNAME. En NULL-pointerdifferens og et nedbrud kan forekomme, hvilket fører til en mulig denial of service-angreb.
OpenSSL bruger GENERAL_NAME_cmp
funktion, når du bekræfter CRL-distributionspunkter og tidsstempel-autoritetsnavne. Ifølge OpenSSL'er rådgivende, “Hvis en hacker kan kontrollere begge elementer, der sammenlignes, kan denne hacker udløse et nedbrud. For eksempel, hvis angriberen kan narre en klient eller server til at kontrollere et ondsindet certifikat mod en ondsindet CRL, kan dette forekomme. ”
Sårbarheden blev oprindeligt rapporteret til OpenSSL den 9. november 2020 af David Benjamin fra Google. En løsning blev udviklet af Matt Caswell fra OpenSSL og implementeret i OpenSSL 1.1.1i i december 8, 2020.
OpenSSL-brugere har to stier til at anvende rettelsen, afhængigt af deres OpenSSL-version og supportniveau:
- Brugere af OpenSSL 1.1.1 og ikke-understøttede 1.0.2-brugere skal opgradere til 1.1.1i.
- Premium support-kunder af OpenSSL 1.0.2 skal opgradere til 1.0.2x.
OpenSSL er i øjeblikket installeret på de fleste HTTPS-webservere; for eksempel Apache's mod_ssl
modulet bruger OpenSSL-biblioteket til at levere SSL /TLS Support.
SSL.com opfordrer alle brugere af OpenSSL til at opdatere deres installation så hurtigt som muligt. Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) har også tilskyndes “Brugere og administratorer til at gennemgå OpenSSL-sikkerhedsrådgivning og anvend den nødvendige opdatering. ”