Dự án OpenSSL đã đưa ra Lời khuyên bảo mật vào ngày 8 tháng 12 năm 2020, cảnh báo người dùng về lỗ hổng bảo mật mức độ nghiêm trọng ảnh hưởng đến tất cả các phiên bản OpenSSL 1.0.2 và 1.1.1 trước phiên bản 1.1.1i . Lỗ hổng này có thể bị kẻ tấn công khai thác trong một cuộc tấn công từ chối dịch vụ (DoS):
The X.509 GeneralName type is a generic type for representing different types of names. One of those name types is known as EDIPartyName. OpenSSL provides a function GENERAL_NAME_cmp which compares different instances of a GENERAL_NAME to see if they are equal or not. This function behaves incorrectly when both GENERAL_NAMEs contain an EDIPARTYNAME. A NULL pointer dereference and a crash may occur leading to a possible denial of service attack.
OpenSSL sử dụng GENERAL_NAME_cmp
chức năng khi xác minh các điểm phân phối CRL và tên cơ quan cấp dấu thời gian. Theo lời khuyên của OpenSSL , “Nếu kẻ tấn công có thể kiểm soát cả hai mục đang được so sánh thì kẻ tấn công đó có thể gây ra sự cố. Ví dụ: nếu kẻ tấn công có thể lừa máy khách hoặc máy chủ kiểm tra chứng chỉ độc hại chống lại CRL độc hại thì điều này có thể xảy ra. ”
Lỗ hổng ban đầu được báo cáo cho OpenSSL vào ngày 9 tháng 11 năm 2020 bởi David Benjamin của Google. Một bản sửa lỗi được phát triển bởi Matt Caswell của OpenSSL và được triển khai trong OpenSSL 1.1.1i vào ngày 8 tháng 12 năm 2020.
Người dùng OpenSSL có hai cách để áp dụng bản sửa lỗi, tùy thuộc vào phiên bản OpenSSL và mức hỗ trợ của họ:
- Người dùng OpenSSL 1.1.1 và người dùng 1.0.2 không được hỗ trợ nên nâng cấp lên 1.1.1i.
- Khách hàng hỗ trợ cao cấp của OpenSSL 1.0.2 nên nâng cấp lên 1.0.2x.
OpenSSL hiện được cài đặt trên phần lớn các máy chủ web HTTPS; ví dụ, mod_ssl
mo-đun của Apache sử dụng thư viện OpenSSL để cung cấp hỗ trợ SSL / TLS.
SSL.VN kêu gọi tất cả người dùng OpenSSL cập nhật cài đặt của họ càng sớm càng tốt. Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã khuyến khích “người dùng và quản trị viên xem lại bảo mật OpenSSL và áp dụng bản cập nhật cần thiết”.
>>> Xem thêm: