Smakämnen OpenSSL projekt utfärdade en Säkerhetsrådgivning den 8 december 2020, varnar användare för en allvarlighetsproblem som påverkar alla versioner av OpenSSL 1.0.2 och 1.1.1 före version 1.1.1. Denna sårbarhet kan potentiellt utnyttjas av en angripare i en Denial of Service (DoS) -attack:
X.509 GeneralName-typen är en generisk typ för att representera olika typer av namn. En av dessa namntyper kallas EDIPartyName. OpenSSL tillhandahåller en funktion GENERAL_NAME_cmp som jämför olika instanser av en GENERAL_NAME för att se om de är lika eller inte. Denna funktion beter sig fel när båda GENERAL_NAME innehåller ett EDIPARTYNAME. En NULL-pekardereferens och en krasch kan inträffa vilket kan leda till en eventuell förnekelse av tjänstangrepp.
OpenSSL använder GENERAL_NAME_cmp
funktion när du verifierar CRL-distributionspunkter och tidsstämpelmyndighetsnamn. Enligt OpenSSL rådgivande, ”Om en angripare kan kontrollera båda objekt som jämförs kan den angriparen utlösa en krasch. Till exempel om angriparen kan lura en klient eller server att kontrollera ett skadligt certifikat mot en skadlig CRL kan detta inträffa. ”
Sårbarheten rapporterades ursprungligen till OpenSSL den 9 november 2020 av David Benjamin från Google. En fix utvecklades av Matt Caswell från OpenSSL och implementerades i OpenSSL 1.1.1i på december 8, 2020.
OpenSSL-användare har två vägar för att tillämpa korrigeringen, beroende på deras OpenSSL-version och supportnivå:
- Användare av OpenSSL 1.1.1 och icke stödda 1.0.2-användare bör uppgradera till 1.1.1i.
- Premium-supportkunder av OpenSSL 1.0.2 bör uppgradera till 1.0.2x.
OpenSSL är för närvarande installerat på majoriteten av HTTPS-webbservrar; till exempel Apache mod_ssl
modulen använder OpenSSL-biblioteket för att tillhandahålla SSL /TLS stöd.
SSL.com uppmanar alla användare av OpenSSL att uppdatera sin installation så snart som möjligt. Den amerikanska byrån för cybersäkerhet och infrastruktur (CISA) har också uppmuntras ”Användare och administratörer att granska OpenSSL säkerhetsrådgivning och tillämpa den nödvändiga uppdateringen. ”