この OpenSSLの プロジェクトは、 セキュリティアドバイザリ 8年2020月1.0.2日、バージョンより前のOpenSSL1.1.1およびXNUMXのすべてのバージョンに影響を与える重大度の高い脆弱性についてユーザーに警告 1.1.1. この脆弱性は、サービス拒否(DoS)攻撃で攻撃者によって悪用される可能性があります。
X.509 GeneralNameタイプは、さまざまなタイプの名前を表すためのジェネリック型です。 それらの名前タイプのXNUMXつはEDIPartyNameとして知られています。 OpenSSLは、GENERAL_NAMEのさまざまなインスタンスを比較して、それらが等しいかどうかを確認する関数GENERAL_NAME_cmpを提供します。 両方のGENERAL_NAMEにEDIPARTYNAMEが含まれている場合、この関数は正しく動作しません。 NULLポインターの逆参照とクラッシュが発生し、サービス拒否攻撃が発生する可能性があります。
OpenSSLは GENERAL_NAME_cmp
CRL配布ポイントとタイムスタンプ機関名を検証するときに機能します。 OpenSSLによると アドバイザリー、「攻撃者が比較対象の両方のアイテムを制御できる場合、その攻撃者はクラッシュを引き起こす可能性があります。 たとえば、攻撃者がクライアントまたはサーバーをだまして悪意のある証明書を悪意のあるCRLと照合させることができる場合、これが発生する可能性があります。」
この脆弱性は、9年2020月XNUMX日にGoogleのDavidBenjaminによってOpenSSLに最初に報告されました。 修正はOpenSSLのMattCaswellによって開発され、 OpenSSL 1.1.1i 12月8、2020に。
OpenSSLユーザーには、OpenSSLのバージョンとサポートレベルに応じて、修正を適用するためのXNUMXつのパスがあります。
- OpenSSL 1.1.1のユーザーおよびサポートされていない1.0.2ユーザーは、1.1.1iにアップグレードする必要があります。
- OpenSSL 1.0.2のプレミアムサポートのお客様は、1.0.2xにアップグレードする必要があります。
OpenSSLは現在、HTTPSWebサーバーの大部分にインストールされています。 たとえば、Apacheの mod_ssl
モジュールはOpenSSLライブラリを使用してSSL /を提供しますTLS サポート。
SSL.comは、OpenSSLのすべてのユーザーに、できるだけ早くインストールを更新するように促します。 米国のサイバーセキュリティ&インフラストラクチャセキュリティエージェンシー(CISA)も 奨励 「ユーザーと管理者は OpenSSLセキュリティアドバイザリ 必要な更新を適用します。」