Perbaikan Kerentanan DoS di OpenSSL 1.1.1i

Grafik OpenSSL proyek mengeluarkan Penasihat Keamanan pada 8 Desember 2020, memperingatkan pengguna tentang kerentanan dengan tingkat keparahan tinggi yang memengaruhi semua versi OpenSSL 1.0.2 dan 1.1.1 sebelum versi 1.1.1. Kerentanan ini berpotensi dapat dieksploitasi oleh penyerang dalam serangan penolakan layanan (DoS):

Tipe X.509 GeneralName adalah tipe umum untuk merepresentasikan tipe nama yang berbeda. Salah satu jenis nama tersebut dikenal sebagai EDIPartyName. OpenSSL menyediakan fungsi GENERAL_NAME_cmp yang membandingkan berbagai contoh GENERAL_NAME untuk melihat apakah mereka sama atau tidak. Fungsi ini berperilaku salah jika kedua GENERAL_NAME berisi EDIPARTYNAME. Dereferensi penunjuk NULL dan crash dapat terjadi yang mengarah ke kemungkinan serangan penolakan layanan.

OpenSSL menggunakan GENERAL_NAME_cmp berfungsi saat memverifikasi titik distribusi CRL dan nama otoritas stempel waktu. Menurut OpenSSL laporan, “Jika seorang penyerang dapat mengontrol kedua item yang dibandingkan maka penyerang itu dapat memicu kecelakaan. Misalnya, jika penyerang dapat mengelabui klien atau server agar memeriksa sertifikat berbahaya terhadap CRL berbahaya maka hal ini dapat terjadi. ”

Kerentanan awalnya dilaporkan ke OpenSSL pada 9 November 2020 oleh David Benjamin dari Google. Perbaikan dikembangkan oleh Matt Caswell dari OpenSSL dan diterapkan di OpenSSL 1.1.1i pada 8 bulan Desember, 2020.

Pengguna OpenSSL memiliki dua jalur untuk menerapkan perbaikan, bergantung pada versi OpenSSL dan tingkat dukungan mereka:

  • Pengguna OpenSSL 1.1.1 dan pengguna 1.0.2 yang tidak didukung harus meningkatkan ke 1.1.1i.
  • Pelanggan dukungan premium OpenSSL 1.0.2 harus meningkatkan ke 1.0.2x.

OpenSSL saat ini diinstal di sebagian besar server web HTTPS; misalnya, Apache's mod_ssl modul menggunakan pustaka OpenSSL untuk menyediakan SSL /TLS Dukungan.

SSL.com mendesak semua pengguna OpenSSL untuk memperbarui instalasi mereka secepat mungkin. Badan Keamanan Siber & Infrastruktur AS (CISA) juga memilikinya didorong “Pengguna dan administrator untuk meninjau Penasihat Keamanan OpenSSL dan terapkan pembaruan yang diperlukan. ”

Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini. Anda juga dapat menemukan jawaban atas banyak pertanyaan dukungan umum di kami dasar pengetahuan.

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel dan pembaruan baru dari SSL.com

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.