A OpenSSL projekt kiadta a Biztonsági tanácsadás 8. december 2020-án figyelmeztette a felhasználókat az OpenSSL 1.0.2 és 1.1.1 összes verzióját érintő, nagyon súlyos sebezhetőségre 1.1.1. Ezt a biztonsági rést egy támadó kihasználhatja egy szolgáltatásmegtagadási (DoS) támadásban:
Az X.509 GeneralName típus egy általános típus a különböző típusú nevek képviseletére. Az egyik ilyen névtípus EDIPartyName néven ismert. Az OpenSSL egy GENERAL_NAME_cmp függvényt biztosít, amely összehasonlítja a GENERAL_NAME különböző példányait, hogy megnézzék, egyenlőek-e vagy sem. Ez a funkció helytelenül viselkedik, ha mindkét GENERAL_NAME EDIPARTYNAME-t tartalmaz. A NULL mutatótól való eltérés és összeomlás a szolgáltatás megtagadásának lehetséges támadásához vezethet.
Az OpenSSL a GENERAL_NAME_cmp
funkció a CRL terjesztési pontok és az időbélyegző jogosultsági nevek ellenőrzésénél. Az OpenSSL-ek szerint tanácsadó, „Ha egy támadó képes ellenőrizni mindkét elem összehasonlítását, akkor ez a támadó összeomlást okozhat. Például, ha a támadó becsaphatja az ügyfelet vagy a kiszolgálót egy rosszindulatú tanúsítvány ellenőrzésére egy rosszindulatú CRL alapján, akkor ez előfordulhat. "
A biztonsági rést eredetileg 9. november 2020-én jelentette az OpenSSL-nek David Benjamin, a Google munkatársa. Javítást Matt Caswell fejlesztett az OpenSSL-től, és ezt telepítették OpenSSL 1.1.1i december 8, 2020.
Az OpenSSL felhasználóknak két útja van a javítás alkalmazásához, az OpenSSL verziójától és támogatási szintjüktől függően:
- Az OpenSSL 1.1.1 és a nem támogatott 1.0.2 felhasználóknak frissíteniük kell 1.1.1i verzióra.
- Az OpenSSL 1.0.2 prémium támogatást nyújtó ügyfeleinek frissíteniük kell az 1.0.2x verzióra.
Az OpenSSL jelenleg a HTTPS webkiszolgálók többségére van telepítve; például Apache-ék mod_ssl
modul az OpenSSL könyvtárat használja az SSL /TLS támogatást.
Az SSL.com sürgeti az OpenSSL minden felhasználóját, hogy a lehető leghamarabb frissítse telepítését. Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) is ösztönözni „A felhasználók és a rendszergazdák, hogy nézzék át a OpenSSL biztonsági tanácsadó és alkalmazza a szükséges frissítést. ”