Opona OpenSSL projekt wydał Poradnik bezpieczeństwa w dniu 8 grudnia 2020 r., ostrzegając użytkowników o bardzo istotnej luce w zabezpieczeniach, która dotyczy wszystkich wersji OpenSSL 1.0.2 i 1.1.1 poprzedzających wersję 1.1.1. Ta luka może zostać potencjalnie wykorzystana przez osobę atakującą w ataku typu „odmowa usługi” (DoS):
Typ X.509 GeneralName jest typem ogólnym służącym do reprezentowania różnych typów nazw. Jeden z tych typów nazw jest znany jako EDIPartyName. OpenSSL udostępnia funkcję GENERAL_NAME_cmp, która porównuje różne wystąpienia GENERAL_NAME, aby sprawdzić, czy są równe, czy nie. Ta funkcja działa niepoprawnie, gdy obie nazwy GENERAL_NAME zawierają EDIPARTYNAME. Może dojść do wyłuskiwania wskaźnika o wartości NULL i awarii prowadzącej do możliwego ataku typu „odmowa usługi”.
OpenSSL używa rozszerzenia GENERAL_NAME_cmp
funkcji podczas weryfikowania punktów dystrybucji CRL i nazw urzędów znaczników czasu. Według OpenSSL doradczy, „Jeśli atakujący może kontrolować oba porównywane elementy, może spowodować awarię. Na przykład, jeśli osoba atakująca może nakłonić klienta lub serwer do sprawdzenia złośliwego certyfikatu pod kątem złośliwej listy CRL, może to nastąpić ”.
Początkowo luka została zgłoszona do OpenSSL 9 listopada 2020 roku przez Davida Benjamina z Google. Poprawka została opracowana przez Matta Caswella z OpenSSL i wdrożona w OpenSSL 1.1.1i w grudniu 8, 2020.
Użytkownicy OpenSSL mają dwie ścieżki zastosowania poprawki, w zależności od ich wersji OpenSSL i poziomu obsługi:
- Użytkownicy OpenSSL 1.1.1 i nieobsługiwani użytkownicy 1.0.2 powinni dokonać aktualizacji do wersji 1.1.1i.
- Klienci korzystający z pomocy technicznej Premium korzystający z OpenSSL 1.0.2 powinni dokonać aktualizacji do wersji 1.0.2x.
OpenSSL jest obecnie zainstalowany na większości serwerów WWW HTTPS; na przykład Apache's mod_ssl
moduł wykorzystuje bibliotekę OpenSSL do dostarczania SSL /TLS Wsparcie.
SSL.com apeluje do wszystkich użytkowników OpenSSL o jak najszybsze zaktualizowanie instalacji. Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) również to zrobiła zachęcać „Użytkownicy i administratorzy, aby przejrzeć Porada dotycząca bezpieczeństwa OpenSSL i zastosuj niezbędną aktualizację ”.