Η OpenSSL εκδοθέν έργο α Συμβουλευτική για την ασφάλεια στις 8 Δεκεμβρίου 2020, προειδοποιώντας τους χρήστες για ευπάθεια υψηλής σοβαρότητας που επηρεάζει όλες τις εκδόσεις των OpenSSL 1.0.2 και 1.1.1 πριν από την έκδοση 1.1.1. Αυτή η ευπάθεια θα μπορούσε ενδεχομένως να αξιοποιηθεί από έναν εισβολέα σε μια επίθεση άρνησης υπηρεσίας (DoS):
Ο τύπος X.509 GeneralName είναι ένας γενικός τύπος για την αναπαράσταση διαφορετικών τύπων ονομάτων. Ένας από αυτούς τους τύπους ονομάτων είναι γνωστός ως EDIPartyName. Το OpenSSL παρέχει μια συνάρτηση GENERAL_NAME_cmp που συγκρίνει διαφορετικές εμφανίσεις ενός GENERAL_NAME για να δει αν είναι ίσες ή όχι. Αυτή η συνάρτηση συμπεριφέρεται εσφαλμένα όταν και οι δύο ΓΕΝΙΚΟΛΟΓΟΙ περιέχουν EDIPARTYNAME. Ενδέχεται να προκύψει έλλειψη δείκτη NULL και σφάλμα που οδηγεί σε πιθανή επίθεση άρνησης υπηρεσίας.
Το OpenSSL χρησιμοποιεί το GENERAL_NAME_cmp
λειτουργία κατά την επαλήθευση σημείων διανομής CRL και ονομάτων αρχής χρονικής σήμανσης. Σύμφωνα με το OpenSSL's συμβουλευτικόςΕάν ένας εισβολέας μπορεί να ελέγξει και τα δύο αντικείμενα που συγκρίνονται, τότε αυτός ο εισβολέας θα μπορούσε να προκαλέσει συντριβή. Για παράδειγμα, εάν ο εισβολέας μπορεί να εξαπατήσει έναν πελάτη ή διακομιστή να ελέγξει ένα κακόβουλο πιστοποιητικό έναντι ενός κακόβουλου CRL, τότε αυτό μπορεί να συμβεί. "
Η ευπάθεια αρχικά αναφέρθηκε στο OpenSSL στις 9 Νοεμβρίου 2020 από τον David Benjamin της Google. Μια επιδιόρθωση αναπτύχθηκε από τον Matt Caswell του OpenSSL και αναπτύχθηκε στο OpenSSL 1.1.1i Τον Δεκέμβριο 8, 2020.
Οι χρήστες του OpenSSL έχουν δύο διαδρομές για να εφαρμόσουν τη διόρθωση, ανάλογα με την έκδοση OpenSSL και το επίπεδο υποστήριξης:
- Οι χρήστες του OpenSSL 1.1.1 και οι μη υποστηριζόμενοι χρήστες 1.0.2 πρέπει να κάνουν αναβάθμιση σε 1.1.1i.
- Οι πελάτες υποστήριξης Premium του OpenSSL 1.0.2 θα πρέπει να αναβαθμίσουν σε 1.0.2x.
Το OpenSSL είναι εγκατεστημένο επί του παρόντος στους περισσότερους διακομιστές ιστού HTTPS. για παράδειγμα, του Apache mod_ssl
Η ενότητα χρησιμοποιεί τη βιβλιοθήκη OpenSSL για την παροχή SSL /TLS Υποστήριξη.
Το SSL.com προτρέπει όλους τους χρήστες του OpenSSL να ενημερώσουν την εγκατάστασή τους το συντομότερο δυνατό. Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) έχει επίσης ενθαρρύνονται «Χρήστες και διαχειριστές για να αναθεωρήσουν το Συμβουλευτική ασφάλεια OpenSSL και εφαρμόστε την απαραίτητη ενημέρωση. "