NewStart CGSL MAIN 6.02：openssl 多個弱點 (NS-SA-2021-0086)

medium Nessus Plugin ID 147241

語系：

概要

遠端機器受到多個弱點的影響。

說明

執行 MAIN 6.02 版的遠端 NewStart CGSL 主機上安裝的 openssl 套件受到多個弱點影響：

- 在用於具有 512 位元模數之乘冪的 x64_64 Montgomery 平方程序中有一個溢位錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 2-prime RSA1024、3-prime RSA1536 及 DSA1024 所發動的攻擊極難執行，而且可能性不高。對 DH512 發動攻擊是可行的。不過，若要發動攻擊，目標必須重複使用 DH512 私密金鑰，而這並不是建議的做法。此外，直接使用低層級 API BN_mod_exp 的應用程式 (若使用 BN_FLG_CONSTTIME) 也可能受到影響。已在 OpenSSL 1.1.1e 中修復 (受影響的是 1.1.1-1.1.1d) 已在 OpenSSL 1.0.2u 中修復 (受影響的是 1.0.2-1.0.2t)。(CVE-2019-1551)

- X.509 GeneralName 類型是用於代表不同類型名稱的泛型類型。其中一種名稱類型稱為 EDIPartyName。OpenSSL 會提供一個 GENERAL_NAME_cmp 函式，該函式可比較 GENERAL_NAME 的不同執行個體，判斷其是否相等。兩個 GENERAL_NAME 都包含 EDIPARTYNAME 時，此函式的行為不正確。可能發生 NULL 指標解除參照和損毀問題，進而可能導致拒絕服務攻擊。出於以下兩個目的，OpenSSL 本身會使用 GENERAL_NAME_cmp 函式：1) 比較可用 CRL 和內嵌在 X509 憑證中的 CRL 發佈點之間的 CRL 發佈點名稱 2) 驗證時間戳記回應 token 簽署者是否符合時間戳記授權單位名稱時 (透過 API 函式 TS_RESP_verify_response 和 TS_RESP_verify_token 洩漏)，如果攻擊者可同時控制比較的兩個項目，則可觸發損毀。例如，如果攻擊者可誘騙用戶端或伺服器針對惡意 CRL 檢查惡意憑證，則可能發生此問題。請注意，部分應用程式會根據憑證中內嵌的 URL 自動下載 CRL。此檢查在驗證憑證和 CRL 的簽章之前進行。
OpenSSL 的 s_server、s_client 和驗證工具支援實作 CRL 自動下載的 -crl_download 選項，且已證明此攻擊可針對這些工具發動。請注意，不相關錯誤表示受影響的 OpenSSL 版本無法剖析或建構 EDIPARTYNAME 的正確編碼。不過，可以建構 OpenSSL 剖析器會接受的格式錯誤的 EDIPARTYNAME，進而觸發此攻擊。所有 OpenSSL 1.1.1 和 1.0.2 版本皆受到此問題影響。
其他 OpenSSL 版本不在支援範圍內，且尚未經過檢查。已在 OpenSSL 1.1.1i 中修正 (受影響的為 1.1.1-1.1.1h)。已在 OpenSSL 1.0.2x 中修正 (受影響的為 1.0.2-1.0.2w)。(CVE-2020-1971)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。