Nieuwe Infinite Loop-bug in OpenSSL kan aanvallers externe servers laten crashen

OpenSSL Nachrichten

De beheerders van OpenSSL hebben: verzonden patches om een ​​zeer ernstige beveiligingsfout in de softwarebibliotheek op te lossen die zou kunnen leiden tot een denial-of-service (DoS)-toestand bij het parseren van certificaten.

Bijgehouden als CVE-2022-0778 (CVSS-score: 7,5), het probleem komt voort uit het ontleden van een ongeldig certificaat met ongeldig expliciet elliptische curve parameters, wat resulteert in wat een “oneindige lus” wordt genoemd. De fout zit in een functie genaamd BN_mod_sqrt() die wordt gebruikt om de modulaire vierkantswortel te berekenen.

“Aangezien het parseren van certificaten plaatsvindt voorafgaand aan de verificatie van de handtekening van het certificaat, kan elk proces dat een extern geleverd certificaat parseert dus onderhevig zijn aan een denial-of-service-aanval”, zei OpenSSL in een advies gepubliceerd op 15 maart 2022.

“De oneindige lus kan ook worden bereikt bij het ontleden van vervaardigde privésleutels, omdat deze expliciete elliptische curve-parameters kunnen bevatten.”

Hoewel er geen bewijs is dat het beveiligingslek in het wild is misbruikt, zijn er een paar scenario’s waarin het kan worden bewapend, waaronder wanneer TLS-clients (of servers) toegang krijgen tot een frauduleus certificaat van een kwaadwillende server (of client), of wanneer certificaat autoriteiten analyseren certificeringsverzoeken van abonnees.

De kwetsbaarheid heeft gevolgen voor OpenSSL-versies 1.0.2, 1.1.1 en 3.0, de projecteigenaren hebben de fout aangepakt met de release van versies 1.0.2zd (voor premium supportklanten), 1.1.1n en 3.0.2. OpenSSL 1.1.0, hoewel ook beïnvloed, zal geen fix ontvangen omdat het einde van zijn levensduur is bereikt.

Gecrediteerd met het melden van de fout op 24 februari 2022 is Google Project Zero-beveiligingsonderzoeker Tavis Ormandy. De fix is ​​ontwikkeld door David Benjamin van Google en Tomáš Mráz van OpenSSL.

CVE-2022-0778 is ook de tweede OpenSSL-kwetsbaarheid die is opgelost sinds het begin van het jaar. Op 28 januari 2022 hebben de beheerders een matig ernstige fout verholpen (CVE-2021-4160CVSS-score: 5,9) die de MIPS32- en MIPS64-kwadraatprocedure van de bibliotheek beïnvloedt.

David
Rate author
Hackarizona