Correctif de vulnérabilité DoS dans OpenSSL 1.1.1i

La OpenSSL projet a publié un Avis de sécurité le 8 décembre 2020, avertissant les utilisateurs d'une vulnérabilité de gravité élevée affectant toutes les versions d'OpenSSL 1.0.2 et 1.1.1 antérieures à la version 1.1.1. Cette vulnérabilité pourrait potentiellement être exploitée par un attaquant lors d'une attaque par déni de service (DoS):

Le type X.509 GeneralName est un type générique pour représenter différents types de noms. L'un de ces types de noms est appelé EDIPartyName. OpenSSL fournit une fonction GENERAL_NAME_cmp qui compare différentes instances d'un GENERAL_NAME pour voir si elles sont égales ou non. Cette fonction ne se comporte pas correctement lorsque les deux GENERAL_NAME contiennent un EDIPARTYNAME. Un déréférencement de pointeur NULL et un plantage peuvent survenir, entraînant une éventuelle attaque par déni de service.

OpenSSL utilise le GENERAL_NAME_cmp fonction lors de la vérification des points de distribution CRL et des noms d'autorité d'horodatage. Selon OpenSSL consultatif, «Si un attaquant peut contrôler les deux éléments comparés, alors cet attaquant pourrait déclencher un crash. Par exemple, si l'attaquant peut amener un client ou un serveur à vérifier un certificat malveillant par rapport à une CRL malveillante, cela peut se produire. »

La vulnérabilité a été initialement signalée à OpenSSL le 9 novembre 2020 par David Benjamin de Google. Un correctif a été développé par Matt Caswell d'OpenSSL et déployé dans OpenSSL 1.1.1i sur Décembre 8, 2020.

Les utilisateurs d'OpenSSL ont deux chemins pour appliquer le correctif, en fonction de leur version d'OpenSSL et de leur niveau de support:

  • Les utilisateurs d'OpenSSL 1.1.1 et les utilisateurs non pris en charge 1.0.2 doivent passer à la version 1.1.1i.
  • Les clients du support Premium d'OpenSSL 1.0.2 doivent passer à la version 1.0.2x.

OpenSSL est actuellement installé sur la majorité des serveurs Web HTTPS; par exemple, Apache mod_ssl module utilise la bibliothèque OpenSSL pour fournir SSL /TLS soutien.

SSL.com exhorte tous les utilisateurs d'OpenSSL à mettre à jour leur installation dès que possible. La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a également encouragés "Aux utilisateurs et aux administrateurs d'examiner les Avis de sécurité OpenSSL et appliquez la mise à jour nécessaire. »

Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.

Équipe d'assistance SSL.com

Auteur - Administrateur de contenu
Tous Les Articles

À lire également

Voir tous les articles du blog
Facebook LinkedIn Twitter Youtube Github

Qu'est-ce que SSL /TLS?

Regardez la vidéo

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage