OpenSSL 修復了嚴重的 DoS 和證書驗證漏洞
OpenSSL 是一個常用的軟件庫,用于構建需要建立安全通信的網絡應用和服務器。近日,OpenSSL 項目針對潛伏在 OpenSSL 產品中的兩個高危漏洞 CVE-2021-3449 和 CVE-2021-3450 發布了公告。
這兩個漏洞包括:
- CVE-2021-3449:由于 NULL 指針取消引用而導致的拒絕服務(DoS)漏洞,只影響 OpenSSL 服務器實例,而不影響客戶端。
- CVE-2021-3450:不正確的 CA 證書驗證漏洞,同時影響服務器和客戶端實例。
單行代碼即可修復 DoS 漏洞
如果在重新協商的過程中,客戶端發送了一個惡意的 ClientHello 消息,OpenSSL TLS 服務器中的 DoS 漏洞(CVE-2021-3449)就會導致服務器崩潰。
公告指出,"如果 TLSv1.2 重新協商的 ClientHello 省略了 signature_algorithms 擴展(在初始的 ClientHello 中存在),但包含了 signature_algorithms_cert 擴展,那么就會導致 NULL 指針取消引用,從而導致崩潰和拒絕服務攻擊。"
該漏洞只影響運行在 1.1.1 和 1.1.1j 版本之間(包括兩者)且需要同時啟用 TLSv1.2 和重新協商的 OpenSSL 服務器。然而,由于這是這些 OpenSSL 服務器版本的默認配置,許多活躍的服務器可能都存在這個潛在的漏洞,而 OpenSSL 客戶端則不受該漏洞影響。
幸運的是,修復這個 DoS 漏洞十分簡單,只需要將 peer_sigalgslen 設置為 0 即可。
該漏洞由諾基亞的工程師 Peter Kästle 和 Samuel Sapalski 發現,他們也提供了上圖所示的修復方法。
CA 證書漏洞
繞過 CA 證書驗證的漏洞 CVE-2021-3450 則與 X509_V_FLAG_X509_STRICT 標志有關。
OpenSSL 使用此標志來禁止對損壞的證書使用替代方法,并嚴格要求根據 X509 規則對證書進行驗證。然而,由于一個回歸錯誤,OpenSSL 1.1.1h 及以上版本(但不包括修復后的 1.1.1k 版本)都會受到這個漏洞的影響,因為在這些版本中這個標志并沒有被默認設置。
該公告指出,"從 OpenSSL 1.1.1h 版本開始增加了一項檢查,以禁止在鏈中顯式編碼 elliptic curve 參數的證書,這是附加的嚴格檢查。但是,這項檢查的實現中出現了一個錯誤,意味著之前確認鏈中證書是有效 CA 證書的檢查結果被覆蓋了"。
目前上述這兩個漏洞都不會影響 OpenSSL 1.0.2,并且這兩個漏洞都在 OpenSSL 1.1.1k 中得到了修復,官方建議用戶升級到這個版本以保護他們的實例。
本文轉自OSCHINA
本文標題:OpenSSL 修復了嚴重的 DoS 和證書驗證漏洞
本文地址:https://www.oschina.net/news/134860/openssl-fixes-severe-dos-vulnerabilities
