Fix für DoS-Sicherheitslücke in OpenSSL 1.1.1i

Das OpenSSL Projekt ausgestellt a Sicherheitshinweis am 8. Dezember 2020 warnt Benutzer vor einer Sicherheitsanfälligkeit mit hohem Schweregrad, die alle Versionen von OpenSSL 1.0.2 und 1.1.1 vor der Version betrifft 1.1.1. Diese Sicherheitsanfälligkeit kann möglicherweise von einem Angreifer bei einem Denial-of-Service-Angriff (DoS) ausgenutzt werden:

Der X.509 GeneralName-Typ ist ein generischer Typ zur Darstellung verschiedener Namenstypen. Einer dieser Namenstypen ist als EDIPartyName bekannt. OpenSSL bietet eine Funktion GENERAL_NAME_cmp, die verschiedene Instanzen eines GENERAL_NAME vergleicht, um festzustellen, ob sie gleich sind oder nicht. Diese Funktion verhält sich falsch, wenn beide GENERAL_NAMEs einen EDIPARTYNAME enthalten. Eine NULL-Zeiger-Dereferenzierung und ein Absturz können zu einem möglichen Denial-of-Service-Angriff führen.

OpenSSL verwendet die GENERAL_NAME_cmp Funktion beim Überprüfen von CRL-Verteilungspunkten und Zeitstempelautoritätsnamen. Laut OpenSSL's beratend, „Wenn ein Angreifer beide verglichenen Elemente steuern kann, kann dieser Angreifer einen Absturz auslösen. Wenn der Angreifer beispielsweise einen Client oder Server dazu verleiten kann, ein schädliches Zertifikat gegen eine schädliche CRL zu prüfen, kann dies auftreten. “

Die Sicherheitsanfälligkeit wurde OpenSSL am 9. November 2020 von David Benjamin von Google gemeldet. Ein Fix wurde von Matt Caswell von OpenSSL entwickelt und in bereitgestellt OpenSSL 1.1.1i am Dezember 8, 2020.

OpenSSL-Benutzer haben zwei Pfade, um das Update anzuwenden, abhängig von ihrer OpenSSL-Version und dem Support-Level:

  • Benutzer von OpenSSL 1.1.1 und nicht unterstützten 1.0.2-Benutzern sollten ein Upgrade auf 1.1.1i durchführen.
  • Premium-Support-Kunden von OpenSSL 1.0.2 sollten auf 1.0.2x aktualisieren.

OpenSSL ist derzeit auf den meisten HTTPS-Webservern installiert. Zum Beispiel Apache's mod_ssl Das Modul verwendet die OpenSSL-Bibliothek, um SSL / bereitzustellenTLS unterstützen.

SSL.com fordert alle Benutzer von OpenSSL auf, ihre Installation so schnell wie möglich zu aktualisieren. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) hat ebenfalls ermutigt „Benutzer und Administratoren überprüfen die OpenSSL-Sicherheitshinweis und wende das notwendige Update an. “

Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.