Debian DSA-5417-1:openssl - 安全性更新
medium Nessus Plugin ID 176539
語系:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機上安裝的套件受到 dsa-5417 公告中提及的多個弱點影響。- 在所有受支援的 OpenSSL 版本中發現一個與驗證包含原則限制的 X.509 憑證鏈相關的安全性弱點。攻擊者可能會建立惡意憑證鏈,觸發計算資源的指數使用,進而惡意利用此弱點,對受影響的系統發動拒絕服務 (DoS) 攻擊。原則處理預設爲禁用狀態,但若將 -policy 引數傳遞至命令行公用程式,或呼叫 X509_VERIFY_PARAM_set1_policies() 函式,即可啟用原則處理。(CVE-2023-0464)
- 驗證憑證時使用非預設選項的應用程式可能容易遭受惡意 CA 的攻擊,進而規避特定檢查。OpenSSL 會以無訊息方式忽略分葉憑證中的無效憑證原則,並略過該憑證的其他憑證原則檢查。惡意 CA 可利用此弱點,刻意宣告無效的憑證原則,以完全規避憑證的原則檢查。原則處理預設爲禁用狀態,但若將 -policy 引數傳遞至命令行公用程式,或呼叫 X509_VERIFY_PARAM_set1_policies() 函式,即可啟用原則處理。(CVE-2023-0465)
- X509_VERIFY_PARAM_add0_policy() 函式被記錄為在進行憑證驗證時隱含啟用憑證原則檢查。不過,此函式的實作並未啟用這一檢查,因而會造成含有無效或錯誤原則的憑證通過憑證驗證。
由於突然啟用原則檢查可能會中斷現有部署,因此決定保留 X509_VERIFY_PARAM_add0_policy() 函式的現有行為。需要 OpenSSL 才能執行憑證原則檢查的應用程式需要使用 X509_VERIFY_PARAM_set1_policy(),或透過以 X509_V_FLAG_POLICY_CHECK 旗標引數呼叫 X509_VERIFY_PARAM_set_flags(),來明確啟用原則檢查。
OpenSSL 中預設停用憑證原則檢查,應用程式亦未普遍使用此檢查。
(CVE-2023-0466)
- 問題摘要:處理某些特製的 ASN.1 物件識別碼或包含這些識別碼的資料可能會非常緩慢。影響摘要:對於直接使用 OBJ_obj2txt() 或使用任何 OpenSSL 子系統 OCSP、PKCS7/SMIME、CMS、CMP/CRMF 或 TS 的應用程式,它們在處理這些訊息時可能造成拒絕服務。OBJECT IDENTIFIER 由一系列數字 (子識別碼) 組成,其中大部分沒有大小限制。
OBJ_obj2txt() 可用於將以 DER 編碼形式 (使用 OpenSSL 類型 ASN1_OBJECT) 提供的 ASN.1 OBJECT IDENTIFIER 轉譯為其規範數值文字形式,即以句點分隔的十進位形式的 OBJECT IDENTIFIER 子識別碼。當 OBJECT IDENTIFIER 中的其中一個子識別碼非常大 (大得離譜,佔用數十或數百 KiB) 時,在文字中轉譯為十進位數字可能需要很長的時間。時間複雜度為 O(n^2),其中「n」是以位元組 (*) 為單位的子識別碼大小。OpenSSL 3.0 版引入了使用字串形式的名稱/識別碼擷取密碼編譯演算法的支援。這包括使用規範數值文字形式的 OBJECT IDENTIFIER 作為擷取演算法的識別碼。此類 OBJECT IDENTIFIER 可透過 ASN.1 結構 AlgorithmIdentifier 接收,該結構常用於多個通訊協定,以指定應使用何種密碼編譯演算法來簽署或驗證、加密或解密,或摘要式傳遞的資料。直接使用未受信任的資料呼叫 OBJ_obj2txt() 的應用程式會受到任何 OpenSSL 版本的影響。如果僅用於顯示目的,則認為低嚴重性。在 OpenSSL 3.0 和更新版本中,這會影響子系統 OCSP、PKCS7/SMIME、CMS、CMP/CRMF 或 TS。它也會影響處理 X.509 憑證的任何項目,包括驗證其簽章等簡單項目。對 TLS 的影響相對較低,因為所有版本的 OpenSSL 在對等端的憑證鏈上都有 100KiB 的限制。此外,這只會影響已明確啟用用戶端驗證的用戶端或伺服器。在 OpenSSL 1.1.1 和 1.0.2 版中,這只會影響顯示不同的物件,例如 X.509 憑證。我們假設此問題不會以會造成拒絕服務的方式發生,因此這些版本不會受到此問題的影響,進而被視為低嚴重性。(CVE-2023-2650)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 openssl 套件。針對穩定的發行版本 (bullseye),已在 1.1.1n-0+deb11u5 版本中修正這些問題。
另請參閱
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1034720
https://security-tracker.debian.org/tracker/source-package/openssl
https://www.debian.org/security/2023/dsa-5417
https://security-tracker.debian.org/tracker/CVE-2023-0464
https://security-tracker.debian.org/tracker/CVE-2023-0465
https://security-tracker.debian.org/tracker/CVE-2023-0466
Plugin 詳細資訊
嚴重性: Medium
ID: 176539
檔案名稱: debian_DSA-5417.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2023/5/31
已更新: 2023/8/10
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2023-0466
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:libssl-doc, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libssl1.1, p-cpe:/a:debian:debian_linux:openssl, p-cpe:/a:debian:debian_linux:libcrypto1.1-udeb, p-cpe:/a:debian:debian_linux:libssl-dev, p-cpe:/a:debian:debian_linux:libssl1.1-udeb
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/5/31
弱點發布日期: 2023/3/21
參考資訊
CVE: CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-2650
IAVA: 2023-A-0158-S