Διόρθωση ευπάθειας DoS στο OpenSSL 1.1.1i

Η OpenSSL εκδοθέν έργο α Συμβουλευτική για την ασφάλεια στις 8 Δεκεμβρίου 2020, προειδοποιώντας τους χρήστες για ευπάθεια υψηλής σοβαρότητας που επηρεάζει όλες τις εκδόσεις των OpenSSL 1.0.2 και 1.1.1 πριν από την έκδοση 1.1.1. Αυτή η ευπάθεια θα μπορούσε ενδεχομένως να αξιοποιηθεί από έναν εισβολέα σε μια επίθεση άρνησης υπηρεσίας (DoS):

Ο τύπος X.509 GeneralName είναι ένας γενικός τύπος για την αναπαράσταση διαφορετικών τύπων ονομάτων. Ένας από αυτούς τους τύπους ονομάτων είναι γνωστός ως EDIPartyName. Το OpenSSL παρέχει μια συνάρτηση GENERAL_NAME_cmp που συγκρίνει διαφορετικές εμφανίσεις ενός GENERAL_NAME για να δει αν είναι ίσες ή όχι. Αυτή η συνάρτηση συμπεριφέρεται εσφαλμένα όταν και οι δύο ΓΕΝΙΚΟΛΟΓΟΙ περιέχουν EDIPARTYNAME. Ενδέχεται να προκύψει έλλειψη δείκτη NULL και σφάλμα που οδηγεί σε πιθανή επίθεση άρνησης υπηρεσίας.

Το OpenSSL χρησιμοποιεί το GENERAL_NAME_cmp λειτουργία κατά την επαλήθευση σημείων διανομής CRL και ονομάτων αρχής χρονικής σήμανσης. Σύμφωνα με το OpenSSL's συμβουλευτικόςΕάν ένας εισβολέας μπορεί να ελέγξει και τα δύο αντικείμενα που συγκρίνονται, τότε αυτός ο εισβολέας θα μπορούσε να προκαλέσει συντριβή. Για παράδειγμα, εάν ο εισβολέας μπορεί να εξαπατήσει έναν πελάτη ή διακομιστή να ελέγξει ένα κακόβουλο πιστοποιητικό έναντι ενός κακόβουλου CRL, τότε αυτό μπορεί να συμβεί. "

Η ευπάθεια αρχικά αναφέρθηκε στο OpenSSL στις 9 Νοεμβρίου 2020 από τον David Benjamin της Google. Μια επιδιόρθωση αναπτύχθηκε από τον Matt Caswell του OpenSSL και αναπτύχθηκε στο OpenSSL 1.1.1i Τον Δεκέμβριο 8, 2020.

Οι χρήστες του OpenSSL έχουν δύο διαδρομές για να εφαρμόσουν τη διόρθωση, ανάλογα με την έκδοση OpenSSL και το επίπεδο υποστήριξης:

  • Οι χρήστες του OpenSSL 1.1.1 και οι μη υποστηριζόμενοι χρήστες 1.0.2 πρέπει να κάνουν αναβάθμιση σε 1.1.1i.
  • Οι πελάτες υποστήριξης Premium του OpenSSL 1.0.2 θα πρέπει να αναβαθμίσουν σε 1.0.2x.

Το OpenSSL είναι εγκατεστημένο επί του παρόντος στους περισσότερους διακομιστές ιστού HTTPS. για παράδειγμα, του Apache mod_ssl Η ενότητα χρησιμοποιεί τη βιβλιοθήκη OpenSSL για την παροχή SSL /TLS Υποστήριξη.

Το SSL.com προτρέπει όλους τους χρήστες του OpenSSL να ενημερώσουν την εγκατάστασή τους το συντομότερο δυνατό. Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) έχει επίσης ενθαρρύνονται «Χρήστες και διαχειριστές για να αναθεωρήσουν το Συμβουλευτική ασφάλεια OpenSSL και εφαρμόστε την απαραίτητη ενημέρωση. "

Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.

Ομάδα υποστήριξης SSL

Συγγραφέας - Διαχειριστής περιεχομένου
Όλες οι Δημοσιεύσεις

Σχετικές αναρτήσεις ιστολογίου

Προβολή όλων των αναρτήσεων ιστολογίου
Facebook linkedin Twitter Youtube Github

Τι είναι το SSL /TLS?

Αναπαραγωγή βίντεο

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Μην χάσετε νέα άρθρα και ενημερώσεις από το SSL.com

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.

Κάνω έρευνα