Fix för säkerhetsproblem i DoS i OpenSSL 1.1.1i

Smakämnen OpenSSL projekt utfärdade en Säkerhetsrådgivning den 8 december 2020, varnar användare för en allvarlighetsproblem som påverkar alla versioner av OpenSSL 1.0.2 och 1.1.1 före version 1.1.1. Denna sårbarhet kan potentiellt utnyttjas av en angripare i en Denial of Service (DoS) -attack:

X.509 GeneralName-typen är en generisk typ för att representera olika typer av namn. En av dessa namntyper kallas EDIPartyName. OpenSSL tillhandahåller en funktion GENERAL_NAME_cmp som jämför olika instanser av en GENERAL_NAME för att se om de är lika eller inte. Denna funktion beter sig fel när båda GENERAL_NAME innehåller ett EDIPARTYNAME. En NULL-pekardereferens och en krasch kan inträffa vilket kan leda till en eventuell förnekelse av tjänstangrepp.

OpenSSL använder GENERAL_NAME_cmp funktion när du verifierar CRL-distributionspunkter och tidsstämpelmyndighetsnamn. Enligt OpenSSL rådgivande, ”Om en angripare kan kontrollera båda objekt som jämförs kan den angriparen utlösa en krasch. Till exempel om angriparen kan lura en klient eller server att kontrollera ett skadligt certifikat mot en skadlig CRL kan detta inträffa. ”

Sårbarheten rapporterades ursprungligen till OpenSSL den 9 november 2020 av David Benjamin från Google. En fix utvecklades av Matt Caswell från OpenSSL och implementerades i OpenSSL 1.1.1i på december 8, 2020.

OpenSSL-användare har två vägar för att tillämpa korrigeringen, beroende på deras OpenSSL-version och supportnivå:

  • Användare av OpenSSL 1.1.1 och icke stödda 1.0.2-användare bör uppgradera till 1.1.1i.
  • Premium-supportkunder av OpenSSL 1.0.2 bör uppgradera till 1.0.2x.

OpenSSL är för närvarande installerat på majoriteten av HTTPS-webbservrar; till exempel Apache mod_ssl modulen använder OpenSSL-biblioteket för att tillhandahålla SSL /TLS stöd.

SSL.com uppmanar alla användare av OpenSSL att uppdatera sin installation så snart som möjligt. Den amerikanska byrån för cybersäkerhet och infrastruktur (CISA) har också uppmuntras ”Användare och administratörer att granska OpenSSL säkerhetsrådgivning och tillämpa den nödvändiga uppdateringen. ”

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.