en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

DoS-kwetsbaarheid verholpen in OpenSSL 1.1.1i

De OpenSSL project heeft een Beveiligingsadvies op 8 december 2020, gebruikers waarschuwen voor een zeer ernstige kwetsbaarheid die alle versies van OpenSSL 1.0.2 en 1.1.1 vóór versie treft 1.1.1. Dit beveiligingslek kan mogelijk worden misbruikt door een aanvaller tijdens een Denial of Service-aanval (DoS):

Het X.509 GeneralName-type is een algemeen type voor het vertegenwoordigen van verschillende soorten namen. Een van die naamtypen staat bekend als EDIPartyName. OpenSSL biedt een functie GENERAL_NAME_cmp die verschillende instanties van een GENERAL_NAME vergelijkt om te zien of ze gelijk zijn of niet. Deze functie gedraagt ​​zich niet correct als beide GENERAL_NAMEs een EDIPARTYNAME bevatten. Een NULL pointer-dereferentie en een crash kunnen optreden, wat kan leiden tot een mogelijke denial of service-aanval.

OpenSSL gebruikt de GENERAL_NAME_cmp functie bij het verifiëren van CRL-distributiepunten en tijdstempelautoriteitsnamen. Volgens OpenSSL's adviserend“Als een aanvaller controle heeft over beide items die worden vergeleken, kan die aanvaller een crash veroorzaken. Als de aanvaller bijvoorbeeld een client of server kan misleiden om een ​​kwaadaardig certificaat tegen een kwaadaardige CRL te controleren, kan dit gebeuren. "

De kwetsbaarheid werd op 9 november 2020 in eerste instantie gemeld aan OpenSSL door David Benjamin van Google. Een oplossing is ontwikkeld door Matt Caswell van OpenSSL en geïmplementeerd in OpenSSL 1.1.1i december 8, 2020.

OpenSSL-gebruikers hebben twee paden om de fix toe te passen, afhankelijk van hun OpenSSL-versie en ondersteuningsniveau:

  • Gebruikers van OpenSSL 1.1.1 en niet-ondersteunde 1.0.2-gebruikers moeten upgraden naar 1.1.1i.
  • Klanten met premiumondersteuning van OpenSSL 1.0.2 moeten upgraden naar 1.0.2x.

OpenSSL is momenteel geïnstalleerd op de meeste HTTPS-webservers; bijvoorbeeld Apache's mod_ssl module gebruikt de OpenSSL-bibliotheek om SSL /TLS Ondersteunen.

SSL.com dringt er bij alle gebruikers van OpenSSL op aan om hun installatie zo snel mogelijk bij te werken. Het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft ook aangemoedigd “Gebruikers en beheerders om het OpenSSL-beveiligingsadvies en pas de nodige update toe. "

Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechtsonder op deze pagina. U kunt ook antwoorden op veel voorkomende ondersteuningsvragen vinden in onze kennis basis.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com