Correzione della vulnerabilità DoS in OpenSSL 1.1.1i

Le OpenSSL progetto emesso a Avviso di sicurezza l'8 dicembre 2020, avvertendo gli utenti di una vulnerabilità ad alta gravità che interessa tutte le versioni di OpenSSL 1.0.2 e 1.1.1 precedenti alla versione 1.1.1. Questa vulnerabilità potrebbe essere potenzialmente sfruttata da un utente malintenzionato in un attacco DoS (Denial of Service):

Il tipo X.509 GeneralName è un tipo generico per rappresentare diversi tipi di nomi. Uno di questi tipi di nome è noto come EDIPartyName. OpenSSL fornisce una funzione GENERAL_NAME_cmp che confronta diverse istanze di GENERAL_NAME per vedere se sono uguali o meno. Questa funzione si comporta in modo non corretto quando entrambi GENERAL_NAME contengono un EDIPARTYNAME. Una dereferenziazione del puntatore NULL e un arresto anomalo possono verificarsi che portano a un possibile attacco di negazione del servizio.

OpenSSL utilizza l'estensione GENERAL_NAME_cmp durante la verifica dei punti di distribuzione CRL e dei nomi di autorità di timestamp. Secondo OpenSSL consultivo, "Se un utente malintenzionato può controllare entrambi gli elementi confrontati, potrebbe innescare un arresto anomalo. Ad esempio, se l'autore dell'attacco può indurre un client o un server a verificare un certificato dannoso rispetto a un CRL dannoso, ciò potrebbe verificarsi. "

La vulnerabilità è stata inizialmente segnalata a OpenSSL il 9 novembre 2020 da David Benjamin di Google. Una correzione è stata sviluppata da Matt Caswell di OpenSSL e distribuita in OpenSSL 1.1.1i dicembre 8, 2020.

Gli utenti di OpenSSL hanno due percorsi per applicare la correzione, a seconda della versione di OpenSSL e del livello di supporto:

  • Gli utenti di OpenSSL 1.1.1 e gli utenti 1.0.2 non supportati devono eseguire l'aggiornamento a 1.1.1i.
  • I clienti con supporto Premium di OpenSSL 1.0.2 devono eseguire l'aggiornamento a 1.0.2x.

OpenSSL è attualmente installato sulla maggior parte dei server Web HTTPS; per esempio, Apache's mod_ssl utilizza la libreria OpenSSL per fornire SSL /TLS supporto.

SSL.com esorta tutti gli utenti di OpenSSL ad aggiornare la propria installazione il prima possibile. Lo ha anche la US Cybersecurity & Infrastructure Security Agency (CISA) incoraggiato "Utenti e amministratori per esaminare il Avviso di sicurezza OpenSSL e applica l'aggiornamento necessario. "

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.