Strona główna » Usunięcie luki w zabezpieczeniach DoS w OpenSSL 1.1.1i

Usunięcie luki w zabezpieczeniach DoS w OpenSSL 1.1.1i

Zespół wsparcia SSL.com
10 grudnia 2020 r.

Połączenia OpenSSL projekt wydał Poradnik bezpieczeństwa w dniu 8 grudnia 2020 r., ostrzegając użytkowników o bardzo istotnej luce w zabezpieczeniach, która dotyczy wszystkich wersji OpenSSL 1.0.2 i 1.1.1 poprzedzających wersję 1.1.1. Ta luka może zostać potencjalnie wykorzystana przez osobę atakującą w ataku typu „odmowa usługi” (DoS):

Typ X.509 GeneralName jest typem ogólnym służącym do reprezentowania różnych typów nazw. Jeden z tych typów nazw jest znany jako EDIPartyName. OpenSSL udostępnia funkcję GENERAL_NAME_cmp, która porównuje różne wystąpienia GENERAL_NAME, aby sprawdzić, czy są równe, czy nie. Ta funkcja działa niepoprawnie, gdy obie nazwy GENERAL_NAME zawierają EDIPARTYNAME. Może dojść do wyłuskiwania wskaźnika o wartości NULL i awarii prowadzącej do możliwego ataku typu „odmowa usługi”.

OpenSSL używa rozszerzenia GENERAL_NAME_cmp funkcji podczas weryfikowania punktów dystrybucji CRL i nazw urzędów znaczników czasu. Według OpenSSL doradczy, „Jeśli atakujący może kontrolować oba porównywane elementy, może spowodować awarię. Na przykład, jeśli osoba atakująca może nakłonić klienta lub serwer do sprawdzenia złośliwego certyfikatu pod kątem złośliwej listy CRL, może to nastąpić ”.

Początkowo luka została zgłoszona do OpenSSL 9 listopada 2020 roku przez Davida Benjamina z Google. Poprawka została opracowana przez Matta Caswella z OpenSSL i wdrożona w OpenSSL 1.1.1i w grudniu 8, 2020.

Użytkownicy OpenSSL mają dwie ścieżki zastosowania poprawki, w zależności od ich wersji OpenSSL i poziomu obsługi:

Użytkownicy OpenSSL 1.1.1 i nieobsługiwani użytkownicy 1.0.2 powinni dokonać aktualizacji do wersji 1.1.1i.
Klienci korzystający z pomocy technicznej Premium korzystający z OpenSSL 1.0.2 powinni dokonać aktualizacji do wersji 1.0.2x.

OpenSSL jest obecnie zainstalowany na większości serwerów WWW HTTPS; na przykład Apache's mod_ssl moduł wykorzystuje bibliotekę OpenSSL do dostarczania SSL /TLS Wsparcie.

SSL.com apeluje do wszystkich użytkowników OpenSSL o jak najszybsze zaktualizowanie instalacji. Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) również to zrobiła zachęcać „Użytkownicy i administratorzy, aby przejrzeć Porada dotycząca bezpieczeństwa OpenSSL i zastosuj niezbędną aktualizację ”.

Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij łącze czatu w prawym dolnym rogu tej strony. Odpowiedzi na wiele często zadawanych pytań można również znaleźć w naszym baza wiedzy.

Zespół wsparcia SSL.com

Autor - administrator treści

Wszystkie Posty

Co to jest SSL /TLS?

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Pliki cookie stron trzecich

Ta strona korzysta Google Analytics & Licznik statystyk do zbierania anonimowych informacji, takich jak liczba odwiedzających witrynę i najpopularniejsze strony.

Włączenie obsługi tych plików cookie pomaga nam ulepszać naszą stronę internetową.

Imię	Provider	Cel	Wygaśnięcie
Google Analytics	Google	Zbieraj anonimowe informacje, takie jak liczba odwiedzających witrynę i najpopularniejsze strony.	365 dni
Analityka StatCounter	StatCounter	Zbieraj anonimowe informacje, takie jak liczba odwiedzających witrynę i najpopularniejsze strony.	365 dni

Usunięcie luki w zabezpieczeniach DoS w OpenSSL 1.1.1i

Zespół wsparcia SSL.com

Powiązane posty na blogu

Podsumowanie cyberbezpieczeństwa z marca 2024 r

Podsumowanie cyberbezpieczeństwa – styczeń 2024 r

Podsumowanie cyberbezpieczeństwa grudzień 2023 r

Co to jest przypinanie certyfikatu?

Podsumowanie cyberbezpieczeństwa wrzesień 2023

Co to jest SSL /TLS?

Subskrybuj biuletyn SSL.com

Będziemy wdzięczni za Twoją opinię