A OpenSSL projeto emitido um Aviso de Segurança em 8 de dezembro de 2020, alertando os usuários sobre uma vulnerabilidade de alta gravidade afetando todas as versões do OpenSSL 1.0.2 e 1.1.1 anteriores à versão 1.1.1. Esta vulnerabilidade pode ser explorada por um invasor em um ataque de negação de serviço (DoS):
O tipo X.509 GeneralName é um tipo genérico para representar diferentes tipos de nomes. Um desses tipos de nome é conhecido como EDIPartyName. OpenSSL fornece uma função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME para ver se são iguais ou não. Esta função se comporta incorretamente quando GENERAL_NAMEs contém um EDIPARTYNAME. Uma anulação da referência do ponteiro NULL e uma falha podem ocorrer, levando a um possível ataque de negação de serviço.
OpenSSL usa o GENERAL_NAME_cmp
função ao verificar pontos de distribuição de CRL e nomes de autoridade de registro de data e hora. De acordo com o OpenSSL's consultivo, “Se um invasor pode controlar os dois itens que estão sendo comparados, então esse invasor pode acionar uma falha. Por exemplo, se o invasor puder induzir um cliente ou servidor a verificar um certificado malicioso em relação a uma CRL maliciosa, isso pode ocorrer. ”
A vulnerabilidade foi relatada inicialmente ao OpenSSL em 9 de novembro de 2020 por David Benjamin do Google. Uma correção foi desenvolvida por Matt Caswell da OpenSSL e implantada em OpenSSL 1.1.1i em dezembro de 8, 2020.
Os usuários do OpenSSL têm dois caminhos para aplicar a correção, dependendo da versão do OpenSSL e do nível de suporte:
- Usuários de OpenSSL 1.1.1 e usuários 1.0.2 sem suporte devem atualizar para 1.1.1i.
- Os clientes de suporte premium do OpenSSL 1.0.2 devem atualizar para 1.0.2x.
O OpenSSL está instalado atualmente na maioria dos servidores da web HTTPS; por exemplo, Apache's mod_ssl
módulo usa a biblioteca OpenSSL para fornecer SSL /TLS .
SSL.com exorta todos os usuários do OpenSSL a atualizar sua instalação o mais rápido possível. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também encorajados “Usuários e administradores revisem o Aviso de segurança do OpenSSL e aplique a atualização necessária. ”