Correção de vulnerabilidade DoS no OpenSSL 1.1.1i

A OpenSSL projeto emitido um Aviso de Segurança em 8 de dezembro de 2020, alertando os usuários sobre uma vulnerabilidade de alta gravidade afetando todas as versões do OpenSSL 1.0.2 e 1.1.1 anteriores à versão 1.1.1. Esta vulnerabilidade pode ser explorada por um invasor em um ataque de negação de serviço (DoS):

O tipo X.509 GeneralName é um tipo genérico para representar diferentes tipos de nomes. Um desses tipos de nome é conhecido como EDIPartyName. OpenSSL fornece uma função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME para ver se são iguais ou não. Esta função se comporta incorretamente quando GENERAL_NAMEs contém um EDIPARTYNAME. Uma anulação da referência do ponteiro NULL e uma falha podem ocorrer, levando a um possível ataque de negação de serviço.

OpenSSL usa o GENERAL_NAME_cmp função ao verificar pontos de distribuição de CRL e nomes de autoridade de registro de data e hora. De acordo com o OpenSSL's consultivo, “Se um invasor pode controlar os dois itens que estão sendo comparados, então esse invasor pode acionar uma falha. Por exemplo, se o invasor puder induzir um cliente ou servidor a verificar um certificado malicioso em relação a uma CRL maliciosa, isso pode ocorrer. ”

A vulnerabilidade foi relatada inicialmente ao OpenSSL em 9 de novembro de 2020 por David Benjamin do Google. Uma correção foi desenvolvida por Matt Caswell da OpenSSL e implantada em OpenSSL 1.1.1i em dezembro de 8, 2020.

Os usuários do OpenSSL têm dois caminhos para aplicar a correção, dependendo da versão do OpenSSL e do nível de suporte:

  • Usuários de OpenSSL 1.1.1 e usuários 1.0.2 sem suporte devem atualizar para 1.1.1i.
  • Os clientes de suporte premium do OpenSSL 1.0.2 devem atualizar para 1.0.2x.

O OpenSSL está instalado atualmente na maioria dos servidores da web HTTPS; por exemplo, Apache's mod_ssl módulo usa a biblioteca OpenSSL para fornecer SSL /TLS .

SSL.com exorta todos os usuários do OpenSSL a atualizar sua instalação o mais rápido possível. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também encorajados “Usuários e administradores revisem o Aviso de segurança do OpenSSL e aplique a atualização necessária. ”

Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.