La OpenSSL projet a publié un Avis de sécurité le 8 décembre 2020, avertissant les utilisateurs d'une vulnérabilité de gravité élevée affectant toutes les versions d'OpenSSL 1.0.2 et 1.1.1 antérieures à la version 1.1.1. Cette vulnérabilité pourrait potentiellement être exploitée par un attaquant lors d'une attaque par déni de service (DoS):
Le type X.509 GeneralName est un type générique pour représenter différents types de noms. L'un de ces types de noms est appelé EDIPartyName. OpenSSL fournit une fonction GENERAL_NAME_cmp qui compare différentes instances d'un GENERAL_NAME pour voir si elles sont égales ou non. Cette fonction ne se comporte pas correctement lorsque les deux GENERAL_NAME contiennent un EDIPARTYNAME. Un déréférencement de pointeur NULL et un plantage peuvent survenir, entraînant une éventuelle attaque par déni de service.
OpenSSL utilise le GENERAL_NAME_cmp
fonction lors de la vérification des points de distribution CRL et des noms d'autorité d'horodatage. Selon OpenSSL consultatif, «Si un attaquant peut contrôler les deux éléments comparés, alors cet attaquant pourrait déclencher un crash. Par exemple, si l'attaquant peut amener un client ou un serveur à vérifier un certificat malveillant par rapport à une CRL malveillante, cela peut se produire. »
La vulnérabilité a été initialement signalée à OpenSSL le 9 novembre 2020 par David Benjamin de Google. Un correctif a été développé par Matt Caswell d'OpenSSL et déployé dans OpenSSL 1.1.1i sur Décembre 8, 2020.
Les utilisateurs d'OpenSSL ont deux chemins pour appliquer le correctif, en fonction de leur version d'OpenSSL et de leur niveau de support:
- Les utilisateurs d'OpenSSL 1.1.1 et les utilisateurs non pris en charge 1.0.2 doivent passer à la version 1.1.1i.
- Les clients du support Premium d'OpenSSL 1.0.2 doivent passer à la version 1.0.2x.
OpenSSL est actuellement installé sur la majorité des serveurs Web HTTPS; par exemple, Apache mod_ssl
module utilise la bibliothèque OpenSSL pour fournir SSL /TLS soutien.
SSL.com exhorte tous les utilisateurs d'OpenSSL à mettre à jour leur installation dès que possible. La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a également encouragés "Aux utilisateurs et aux administrateurs d'examiner les Avis de sécurité OpenSSL et appliquez la mise à jour nécessaire. »