OpenSSL 1.1.1 < 1.1.1u 多個弱點

medium Nessus Plugin ID 173260

概要

遠端服務受到多種弱點的影響。

說明

遠端主機上安裝的 OpenSSL 版本低於 1.1.1u。因此,它受到 1.1.1u 公告中提及的多個弱點影響。

- X509_VERIFY_PARAM_add0_policy() 函式被記錄為在進行憑證驗證時隱含啟用憑證原則檢查。不過,此函式的實作並未啟用這一檢查,因而會造成含有無效或錯誤原則的憑證通過憑證驗證。
由於突然啟用原則檢查可能會中斷現有部署,因此決定保留 X509_VERIFY_PARAM_add0_policy() 函式的現有行為。需要 OpenSSL 才能執行憑證原則檢查的應用程式需要使用 X509_VERIFY_PARAM_set1_policy(),或透過以 X509_V_FLAG_POLICY_CHECK 旗標引數呼叫 X509_VERIFY_PARAM_set_flags(),來明確啟用原則檢查。
OpenSSL 中預設停用憑證原則檢查,應用程式亦未普遍使用此檢查。
(CVE-2023-0466)

- 在所有受支援的 OpenSSL 版本中發現一個與驗證包含原則限制的 X.509 憑證鏈相關的安全性弱點。攻擊者可能會建立惡意憑證鏈,觸發計算資源的指數使用,進而惡意利用此弱點,對受影響的系統發動拒絕服務 (DoS) 攻擊。原則處理預設爲禁用狀態,但若將 -policy 引數傳遞至命令行公用程式,或呼叫 X509_VERIFY_PARAM_set1_policies() 函式,即可啟用原則處理。(CVE-2023-0464)

- 驗證憑證時使用非預設選項的應用程式可能容易遭受惡意 CA 的攻擊,進而規避特定檢查。OpenSSL 會以無訊息方式忽略分葉憑證中的無效憑證原則,並略過該憑證的其他憑證原則檢查。惡意 CA 可利用此弱點,刻意宣告無效的憑證原則,以完全規避憑證的原則檢查。原則處理預設爲禁用狀態,但若將 -policy 引數傳遞至命令行公用程式,或呼叫 X509_VERIFY_PARAM_set1_policies() 函式,即可啟用原則處理。(CVE-2023-0465)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 OpenSSL 1.1.1u 或更新版本。

另請參閱

http://www.nessus.org/u?2b09deba

https://www.cve.org/CVERecord?id=CVE-2023-0465

https://www.openssl.org/news/secadv/20230328.txt

https://www.openssl.org/policies/secpolicy.html

http://www.nessus.org/u?1b17844f

https://www.cve.org/CVERecord?id=CVE-2023-0466

http://www.nessus.org/u?0f79dd95

https://www.cve.org/CVERecord?id=CVE-2023-0464

https://www.openssl.org/news/secadv/20230322.txt

Plugin 詳細資訊

嚴重性: Medium

ID: 173260

檔案名稱: openssl_1_1_1u.nasl

版本: 1.9

類型: combined

代理程式: windows, macosx, unix

系列: Web Servers

已發布: 2023/3/22

已更新: 2023/8/10

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2023-0466

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:openssl:openssl

必要的 KB 項目: installed_sw/OpenSSL

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/3/21

弱點發布日期: 2023/3/21

參考資訊

CVE: CVE-2023-0464, CVE-2023-0465, CVE-2023-0466

IAVA: 2023-A-0158-S