Các nhà bảo mật của OpenSSL đã phát hành bản sửa lỗi cho hai lỗi bảo mật mức độ nghiêm trọng cao trong phần mềm của nó có thể bị lợi dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) và bỏ qua xác minh chứng chỉ.
Được theo dõi là CVE-2021-3449 và CVE-2021-3450 , cả hai lỗ hổng đều đã được giải quyết trong bản cập nhật (phiên bản OpenSSL 1.1.1k) được phát hành vào thứ Năm. Trong khi CVE-2021-3449 ảnh hưởng đến tất cả các phiên bản OpenSSL 1.1.1, CVE-2021-3450 ảnh hưởng đến các phiên bản OpenSSL 1.1.1h và mới hơn.
OpenSSL là một thư viện phần mềm bao gồm các chức năng mật mã thực hiện giao thức Bảo mật tầng truyền tải với mục tiêu bảo mật thông tin liên lạc được gửi qua mạng máy tính.
Theo một lời khuyên do OpenSSL xuất bản, CVE-2021-3449 liên quan đến lỗ hổng DoS tiềm ẩn phát sinh do tham chiếu con trỏ NULL có thể khiến máy chủ OpenSSL TLS gặp sự cố nếu trong quá trình thương lượng lại, khách hàng truyền thông báo "ClientHello" độc hại trong quá trình bắt tay giữa máy chủ và người dùng. Vấn đề được giới thiệu là một phần của những thay đổi có từ tháng 1 năm 2018.
"Nếu một ClientHello thương lượng lại TLSv1.2 bỏ qua phần mở rộng signature_algorithm (nơi nó đã có trong phần mở rộng ClientHello ban đầu), nhưng bao gồm phần mở rộng signature_algorithm_cert thì sẽ dẫn đến việc bỏ qua con trỏ NULL, dẫn đến sự cố và tấn công từ chối dịch vụ", lời khuyên cho biết .
Nokia, được cho là đã báo cáo lỗ hổng vào ngày 17 tháng 3, đã sửa lỗi DoS bằng cách thay đổi mã một dòng .
Mặt khác, CVE-2021-3450 liên quan đến cờ X509_V_FLAG_X509_STRICT cho phép kiểm tra bảo mật bổ sung các chứng chỉ có trong chuỗi chứng chỉ. Mặc dù cờ này không được đặt theo mặc định, một lỗi trong quá trình triển khai có nghĩa là OpenSSL không kiểm tra được rằng "chứng chỉ không phải CA không thể cấp chứng chỉ khác", dẫn đến việc bỏ qua chứng chỉ.
Do đó, lỗ hổng đã ngăn các ứng dụng từ chối chứng chỉ TLS không được ký điện tử bởi tổ chức phát hành chứng chỉ tin cậy của trình duyệt (CA).
"Để bị ảnh hưởng, ứng dụng phải đặt cờ xác minh X509_V_FLAG_X509_STRICT rõ ràng và không đặt mục đích xác minh chứng chỉ hoặc trong trường hợp ứng dụng máy khách hoặc máy chủ TLS, ghi đè mục đích mặc định", OpenSSL cho biết.
Benjamin Kaduk từ Akamai được cho là đã báo cáo vấn đề với những người bảo trì dự án vào ngày 18 tháng 3. Lỗ hổng được phát hiện bởi Xiang Ding và những người khác tại Akamai, với một bản sửa lỗi được thực hiện bởi cựu kỹ sư phần mềm chính của Red Hat và nhà phát triển OpenSSL Tomáš Mráz.
Mặc dù không có vấn đề nào ảnh hưởng đến OpenSSL 1.0.2, nhưng cũng cần lưu ý rằng phiên bản này đã không còn được hỗ trợ kể từ ngày 1 tháng 1 năm 2020 và không còn nhận được các bản cập nhật. Các ứng dụng dựa trên phiên bản OpenSSL dễ bị tấn công được khuyên nên áp dụng các bản vá để giảm thiểu rủi ro liên quan đến lỗi.
Đăng nhận xét
Đăng nhận xét