Những người bảo trì OpenSSL đã phát hành bản sửa lỗi cho hai lỗi bảo mật nghiêm trọng cao trong phần mềm của nó có thể bị khai thác để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) và bỏ qua xác minh chứng chỉ.
Được theo dõi dưới dạng CVE-2021-3449 Và CVE-2021-3450, cả hai lỗ hổng đã được giải quyết trong một bản cập nhật (phiên bản OpenSSL 1.1.1k) được phát hành vào thứ Năm. Trong khi CVE-2021-3449 ảnh hưởng đến tất cả các phiên bản OpenSSL 1.1.1, CVE-2021-3450 ảnh hưởng đến các phiên bản OpenSSL 1.1.1h trở lên.
OpenSSL là một thư viện phần mềm bao gồm các chức năng mã hóa triển khai giao thức Bảo mật tầng vận chuyển với mục tiêu bảo mật thông tin liên lạc được gửi qua mạng máy tính.
Theo một lời khuyên do OpenSSL công bố, CVE-2021-3449 liên quan đến lỗ hổng DoS tiềm ẩn phát sinh do hủy bỏ tham chiếu con trỏ NULL có thể khiến máy chủ OpenSSL TLS gặp sự cố nếu trong quá trình đàm phán lại, máy khách truyền thông báo “ClientHello” độc hại trong quá trình đàm phán. bắt tay giữa máy chủ và người dùng. Sự cố này được đưa ra như một phần của những thay đổi kể từ tháng 1 năm 2018.
“Nếu ClientHello thương lượng lại TLSv1.2 bỏ qua phần mở rộng signature_algorithms (nơi nó có trong ClientHello ban đầu), nhưng bao gồm phần mở rộng signature_algorithms_cert thì sẽ dẫn đến hủy đăng ký con trỏ NULL, dẫn đến sự cố và tấn công từ chối dịch vụ”, lời khuyên nói.
Nokia, được cho là đã báo cáo lỗ hổng vào ngày 17 tháng 3, đã sửa lỗi DoS bằng thay đổi mã một dòng.
Mặt khác, CVE-2021-3450 liên quan đến cờ X509_V_FLAG_X509_STRICT cho phép kiểm tra bảo mật bổ sung cho các chứng chỉ có trong chuỗi chứng chỉ. Mặc dù cờ này không được đặt theo mặc định, nhưng một lỗi trong quá trình triển khai có nghĩa là OpenSSL không thể kiểm tra xem “các chứng chỉ không phải CA không được phép cấp các chứng chỉ khác”, dẫn đến việc bỏ qua chứng chỉ.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Do đó, lỗ hổng đã ngăn các ứng dụng từ chối chứng chỉ TLS không được ký điện tử bởi cơ quan cấp chứng chỉ đáng tin cậy của trình duyệt (CA).
OpenSSL cho biết: “Để bị ảnh hưởng, ứng dụng phải đặt cờ xác minh X509_V_FLAG_X509_STRICT một cách rõ ràng và không đặt mục đích xác minh chứng chỉ hoặc, trong trường hợp ứng dụng máy khách hoặc máy chủ TLS, ghi đè mục đích mặc định”.
Benjamin Kaduk từ Akamai được cho là đã báo cáo vấn đề này cho những người bảo trì dự án vào ngày 18 tháng 3. Lỗ hổng được Xiang Ding và những người khác tại Akamai phát hiện, với bản sửa lỗi do cựu kỹ sư phần mềm chính của Red Hat và nhà phát triển OpenSSL Tomáš Mráz đưa ra.
Mặc dù cả hai vấn đề đều không ảnh hưởng đến OpenSSL 1.0.2, nhưng cũng đáng lưu ý rằng phiên bản này đã không còn được hỗ trợ kể từ ngày 1 tháng 1 năm 2020 và không còn nhận được các bản cập nhật nữa. Các ứng dụng dựa trên phiên bản OpenSSL có lỗ hổng nên áp dụng các bản vá để giảm thiểu rủi ro liên quan đến các lỗ hổng.
