Grafik OpenSSL proyek mengeluarkan Penasihat Keamanan pada 8 Desember 2020, memperingatkan pengguna tentang kerentanan dengan tingkat keparahan tinggi yang memengaruhi semua versi OpenSSL 1.0.2 dan 1.1.1 sebelum versi 1.1.1. Kerentanan ini berpotensi dapat dieksploitasi oleh penyerang dalam serangan penolakan layanan (DoS):
Tipe X.509 GeneralName adalah tipe umum untuk merepresentasikan tipe nama yang berbeda. Salah satu jenis nama tersebut dikenal sebagai EDIPartyName. OpenSSL menyediakan fungsi GENERAL_NAME_cmp yang membandingkan berbagai contoh GENERAL_NAME untuk melihat apakah mereka sama atau tidak. Fungsi ini berperilaku salah jika kedua GENERAL_NAME berisi EDIPARTYNAME. Dereferensi penunjuk NULL dan crash dapat terjadi yang mengarah ke kemungkinan serangan penolakan layanan.
OpenSSL menggunakan GENERAL_NAME_cmp
berfungsi saat memverifikasi titik distribusi CRL dan nama otoritas stempel waktu. Menurut OpenSSL laporan, “Jika seorang penyerang dapat mengontrol kedua item yang dibandingkan maka penyerang itu dapat memicu kecelakaan. Misalnya, jika penyerang dapat mengelabui klien atau server agar memeriksa sertifikat berbahaya terhadap CRL berbahaya maka hal ini dapat terjadi. ”
Kerentanan awalnya dilaporkan ke OpenSSL pada 9 November 2020 oleh David Benjamin dari Google. Perbaikan dikembangkan oleh Matt Caswell dari OpenSSL dan diterapkan di OpenSSL 1.1.1i pada 8 bulan Desember, 2020.
Pengguna OpenSSL memiliki dua jalur untuk menerapkan perbaikan, bergantung pada versi OpenSSL dan tingkat dukungan mereka:
- Pengguna OpenSSL 1.1.1 dan pengguna 1.0.2 yang tidak didukung harus meningkatkan ke 1.1.1i.
- Pelanggan dukungan premium OpenSSL 1.0.2 harus meningkatkan ke 1.0.2x.
OpenSSL saat ini diinstal di sebagian besar server web HTTPS; misalnya, Apache's mod_ssl
modul menggunakan pustaka OpenSSL untuk menyediakan SSL /TLS Dukungan.
SSL.com mendesak semua pengguna OpenSSL untuk memperbarui instalasi mereka secepat mungkin. Badan Keamanan Siber & Infrastruktur AS (CISA) juga memilikinya didorong “Pengguna dan administrator untuk meninjau Penasihat Keamanan OpenSSL dan terapkan pembaruan yang diperlukan. ”