偵測

Amazon Linux 2:openssl11 (ALAS-2021-1612)

low Nessus Plugin ID 147910

語系:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 openssl11 為 1.1.1g-12 之前版本。因此,會受到 ALAS2-2021-1612 公告中所提及的多個弱點影響。

 - OpenSSL 1.0.2 支援 SSLv2。如果用戶端嘗試與設定為支援 SSLv2 以及較新的 SSL 和 TLS 版本的伺服器交涉 SSLv2,則在取消填補 RSA 簽章時會檢查是否有版本復原攻擊。支援 SSLv2 以上版本 SSL 或 TLS 的用戶端應使用特殊的填補形式。支援 SSLv2 以上版本的伺服器應拒絕存在此特殊填補形式之用戶端的連線嘗試,因為這表示發生版本回溯 (即用戶端和伺服器皆支援 SSLv2 以上版本,但這是所要求的版本)。此填補檢查的實作會反轉邏輯,以便在有填補的情況下接受連線嘗試,而在沒有填補的情況下拒絕連線嘗試。這表示,伺服器將在發生版本復原攻擊時接受連線。此外,如果嘗試進行一般 SSLv2 連線,伺服器會錯誤地拒絕連線。僅 1.0.2s 至 1.0.2x 版的 OpenSSL 1.0.2 伺服器受到此問題影響。1.0.2 伺服器要受到攻擊,必須滿足下列條件:1) 編譯時已設定 SSLv2 支援 (預設為停用),2) 在執行階段已設定 SSLv2 支援 (預設為停用),3) 已設定 SSLv2 加密套件 (這些不在預設的加密套件清單中) OpenSSL 1.1.1 不支援 SSLv2,因此不易受此問題影響。RSA_padding_check_SSLv23() 函式實作中有基礎錯誤。這也會影響其他多種函式所使用的 RSA_SSLV23_PADDING 填補模式。雖然 1.1.1 版不支援 SSLv2,但 RSA_padding_check_SSLv23() 函式仍然存在,RSA_SSLV23_PADDING 填補模式亦如此。直接呼叫該函式或使用該填補模式的應用程式將會遇到此問題。
 不過,由於 1.1.1 版不支援 SSLv2 通訊協定,因此在該版本中,此問題將被視為錯誤,而非安全性問題。OpenSSL 1.0.2 不在支援範圍,亦不再接收公開更新。
 OpenSSL 1.0.2 的高級支援客戶應升級至 1.0.2y。其他使用者應升級至 1.1.1j。
 已在 OpenSSL 1.0.2y 中修正 (受影響的版本為 1.0.2s-1.0.2x)。(CVE-2021-23839)

 - 在某些情況下,若輸入長度接近平台上整數的最大允許長度,呼叫 EVP_CipherUpdate、EVP_EncryptUpdate 和 EVP_DecryptUpdate 可能造成輸出長度引數溢位。在此類情況下,函式呼叫的傳回值將為 1 (表示成功),但輸出長度值將為負值。這可造成應用程式的行為不正確或損毀。
 OpenSSL 1.1.1i 及以下版本受到此問題影響。這些版本的使用者應升級至 OpenSSL 1.1.1j。OpenSSL 1.0.2x 及以下版本受到此問題影響。但 OpenSSL 1.0.2 不在支援範圍,亦不再接收公開更新。OpenSSL 1.0.2 的高級支援客戶應升級至 1.0.2y。其他使用者應升級至 1.1.1j。已在 OpenSSL 1.1.1j 中修正 (受影響的版本為 1.1.1-1.1.1i)。
 已在 OpenSSL 1.0.2y 中修正 (受影響的版本為 1.0.2-1.0.2x)。(CVE-2021-23840)

 - OpenSSL 公開 API 函式 X509_issuer_and_serial_hash() 嘗試根據 X509 憑證中所含的簽發者和序號資料建立唯一的雜湊值。但是,它無法正確處理剖析簽發者欄位時可能發生的任何錯誤 (如果簽發者欄位遭到惡意建構,則可能發生此類錯誤)。之後,這可能導致 NULL 指標解除參照和當機,進而導致潛在的拒絕服務攻擊。OpenSSL 本身絕不會直接呼叫 X509_issuer_and_serial_hash() 函式,因此只有在直接使用此函式,並在可能是從未受信任來源取得的憑證上使用時,應用程式才會受到影響。OpenSSL 1.1.1i 及以下版本受到此問題影響。這些版本的使用者應升級至 OpenSSL 1.1.1j。OpenSSL 1.0.2x 及以下版本受到此問題影響。但 OpenSSL 1.0.2 不在支援範圍,亦不再接收公開更新。OpenSSL 1.0.2 的高級支援客戶應升級至 1.0.2y。其他使用者應升級至 1.1.1j。已在 OpenSSL 1.1.1j 中修正 (受影響的版本為 1.1.1-1.1.1i)。已在 OpenSSL 1.0.2y 中修正 (受影響的版本為 1.0.2-1.0.2x)。(CVE-2021-23841)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「yum update openssl11」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2/ALAS-2021-1612.html

https://alas.aws.amazon.com/../../faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2021-23839.html

https://alas.aws.amazon.com/cve/html/CVE-2021-23840.html

https://alas.aws.amazon.com/cve/html/CVE-2021-23841.html

Plugin 詳細資訊

嚴重性: Low

ID: 147910

檔案名稱: al2_ALAS-2021-1612.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2021/3/19

已更新: 2023/3/21

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2021-23839

CVSS v3

風險因素: Low

基本分數: 3.7

時間分數: 3.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:openssl11, p-cpe:/a:amazon:linux:openssl11-debuginfo, p-cpe:/a:amazon:linux:openssl11-devel, p-cpe:/a:amazon:linux:openssl11-libs, p-cpe:/a:amazon:linux:openssl11-static, cpe:/o:amazon:linux:2

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/3/18

弱點發布日期: 2021/2/16

參考資訊

CVE: CVE-2021-23839, CVE-2021-23840, CVE-2021-23841

ALAS: 2021-1612