De OpenSSL prosjektet utstedt en Sikkerhetsrådgivning 8. desember 2020, og advarer brukere om et alvorlig sikkerhetsproblem som berører alle versjoner av OpenSSL 1.0.2 og 1.1.1 før versjonen 1.1.1. Denne sårbarheten kan potensielt utnyttes av en angriper i et denial of service (DoS) -angrep:
X.509 GeneralName-typen er en generisk type for å representere forskjellige typer navn. En av disse navnetypene er kjent som EDIPartyName. OpenSSL gir en funksjon GENERAL_NAME_cmp som sammenligner forskjellige forekomster av en GENERAL_NAME for å se om de er like eller ikke. Denne funksjonen oppfører seg feil når begge GENERAL_NAME inneholder et EDIPARTYNAME. En NULL-pekereferanse og et krasj kan oppstå som fører til et mulig nektelsesangrep.
OpenSSL bruker GENERAL_NAME_cmp funksjon når du bekrefter CRL-distribusjonspunkter og tidsstempel myndighetsnavn. Ifølge OpenSSL rådgivende, “Hvis en angriper kan kontrollere begge elementene som blir sammenlignet, kan den angriperen utløse et krasj. For eksempel hvis angriperen kan lure en klient eller server til å sjekke et ondsinnet sertifikat mot en ondsinnet CRL, kan dette skje. ”
Sårbarheten ble opprinnelig rapportert til OpenSSL 9. november 2020 av David Benjamin fra Google. En løsning ble utviklet av Matt Caswell fra OpenSSL og implementert i OpenSSL 1.1.1i desember 8, 2020.
OpenSSL-brukere har to baner for å bruke løsningen, avhengig av OpenSSL-versjon og støttenivå:
- Brukere av OpenSSL 1.1.1 og ikke-støttede 1.0.2-brukere bør oppgradere til 1.1.1i.
- Premium support-kunder av OpenSSL 1.0.2 bør oppgradere til 1.0.2x.
OpenSSL er for øyeblikket installert på de fleste HTTPS-webservere; for eksempel Apache's mod_ssl modulen bruker OpenSSL-biblioteket til å gi SSL /TLS Støtte.
SSL.com ber alle brukere av OpenSSL om å oppdatere installasjonen så snart som mulig. Det amerikanske cybersecurity & Infrastructure Security Agency (CISA) har også gjort det oppfordret “Brukere og administratorer for å gjennomgå OpenSSL sikkerhetsrådgivning og bruk den nødvendige oppdateringen. ”
