Amazon Linux 2022: openssl (ALAS2022-2022-104)

critical Nessus Plugin ID 164775

概要

遠端 Amazon Linux 2022 主機缺少一個安全性更新。

說明

遠端主機上安裝的 openssl 為 3.0.3-1 之前版本。因此,會受到 ALAS2022-2022-104 公告中所提及的多個弱點影響。

- c_rehash 指令碼未正確清理殼層中繼字元以防止命令插入。某些作業系統會以自動執行的方式發佈此指令碼。在這類作業系統上,攻擊者可以透過指令碼的權限執行任意命令。c_rehash 指令碼的使用已過時,應由 OpenSSL rehash 命令行工具取代。
已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。已在 OpenSSL 1.1.1o 中修正 (受影響的是 1.1.1-1.1.1n)。
已在 OpenSSL 1.0.2ze 中修正 (受影響的是 1.0.2-1.0.2zd)。(CVE-2022-1292)

-「OCSP_basic_verify」函式驗證 OCSP 回應上的簽署者憑證。在使用 (非預設) 旗標 OCSP_NOCHECKS 的情況下,即使回應簽署憑證無法驗證,也會是正向回應 (表示驗證成功)。預期「OCSP_basic_verify」的大多數使用者將不會使用 OCSP_NOCHECKS 旗標。在此情況下,「OCSP_basic_verify」函式會在憑證驗證失敗的情況下傳回負值 (表示嚴重錯誤)。在此情況下,正常的預期傳回值為 0。此問題也會影響命令行 OpenSSL ocsp 應用程式。使用 -no_cert_checks 選項驗證 ocsp 回應時,
即使實際上驗證失敗,命令行應用程式仍會報告驗證成功。在這種情況下,不正確的成功回應也會伴隨錯誤訊息,顯示失敗並與明顯成功的結果矛盾。已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1343)

- RC4-MD5 加密套件的 OpenSSL 3.0 實作未正確使用 AAD 資料作為 MAC 金鑰。
這會使 MAC 金鑰可輕易預測。攻擊者可惡意利用此問題,執行攔截式攻擊來修改從一個端點傳送至 OpenSSL 3.0 收件者的資料,使得修改後的資料仍可通過 MAC 完整性檢查。請注意,從 OpenSSL 3.0 端點傳送至非 OpenSSL 3.0 端點的資料將一律遭到接收者拒絕,此時連線將會失敗。許多應用程式通訊協定要求需先將資料從用戶端傳送至伺服器。
因此,在這種情況下,與非 OpenSSL 3.0 用戶端交談時,只會影響 OpenSSL 3.0 伺服器。如果兩個端點都是 OpenSSL 3.0 ,則攻擊者可修改雙向傳送的資料。在此情況下,無論應用程式通訊協定為何,用戶端和伺服器都會受到影響。請注意,在沒有攻擊者的情況下,此錯誤表示使用此加密套件時,與非 OpenSSL 3.0 端點通訊的 OpenSSL 3.0 端點將無法完成交握。資料的機密性不受此問題影響,即攻擊者無法解密已使用此加密套件加密的資料,他們只能進行修改。為使此攻擊有效,兩個端點都必須以合法方式交涉 RC4-MD5 加密套件。此加密套件並非預設在 OpenSSL 3.0 中編譯,且在預設提供者或預設加密套件清單中不可用。如果已交涉 TLSv1.3,則永遠不會使用此加密套件。為了讓 OpenSSL 3.0 端點使用此加密套件,必須發生下列情況:1) OpenSSL 必須已使用 (非預設) 編譯時選項 enable-weak-ssl-ciphers 2) OpenSSL 必須已明確載入舊版提供者 (透過應用程式程式碼或透過組態) 3) 加密套件必須已明確新增至加密套件清單 4) 必須將 libssl 安全性等級設為 0 (預設為 1) 5) 必須交涉低於 TLSv1.3 的 SSL/TLS 版本 6) 兩個端點都必須交涉 RC4-MD5 加密套件,而不是兩個端點共有的任何其他項目。已在 OpenSSL 中修正 3.0.3 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1434)

- OPENSSL_LH_flush() 函式可清空雜湊表,其中包含一個錯誤,會中斷已移除雜湊表項目佔用的記憶體重複使用。解碼憑證或金鑰時會使用此函式。如果長效處理程序定期解碼憑證或金鑰,其記憶體使用量將會無限擴充,處理程序可能會被作業系統終止,進而造成拒絕服務。
此外,遊走空雜湊表項目將會越來越耗時間。通常這類長效處理程序可能是設為接受用戶端憑證驗證的 TLS 用戶端或 TLS 伺服器。函式已在 OpenSSL 3.0 版中新增,因此舊版不受此問題影響。已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1473)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

執行「yum update openssl」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2022/ALAS-2022-104.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1292.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1343.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1434.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1473.html

Plugin 詳細資訊

嚴重性: Critical

ID: 164775

檔案名稱: al2022_ALAS2022-2022-104.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2022/9/7

已更新: 2023/10/12

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-1292

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:openssl, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-perl, cpe:/o:amazon:linux:2022

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/7/8

弱點發布日期: 2022/5/3

參考資訊

CVE: CVE-2022-1292, CVE-2022-1343, CVE-2022-1434, CVE-2022-1473

IAVA: 2022-A-0186-S