OpenSSL 3.3.0 < 3.3.1 多個弱點

medium Nessus Plugin ID 197189

語系：

概要

遠端服務受到多種弱點的影響。

說明

遠端主機上安裝的 OpenSSL 為 3.3.1 之前版本。因此，會受到 3.3.1 公告中所提及的多個弱點影響。

- 問題摘要：檢查過長的 DSA 金鑰或參數時可能會非常緩慢。影響摘要：
使用 EVP_PKEY_param_check() 或 EVP_PKEY_public_check() 函式檢查 DSA 金鑰或 DSA 參數的應用程式可能會遇到長時間延遲。如果要檢查的金鑰或參數是從未受信任的來源取得，這可能會導致拒絕服務。EVP_PKEY_param_check() 或 EVP_PKEY_public_check() 函式對 DSA 參數執行各種檢查。如果模數 (「p」參數) 太大，某些運算會花很長的時間。嘗試使用非常大的模數時執行速度會變慢，且 OpenSSL 不允許使用長度超過 10,000 位元的公開金鑰用於執行簽章驗證。不過，執行檢查時，金鑰和參數檢查函式不會限制模數大小。應用程式如果呼叫 EVP_PKEY_param_check() 或 EVP_PKEY_public_check() 並提供從未受信任之來源取得的金鑰或參數，則容易遭受拒絕服務攻擊。OpenSSL 本身不會在未受信任的 DSA 金鑰上呼叫這些函式，因此只有直接呼叫這些函式的應用程式可能會受到影響。使用「-check」選項時，OpenSSL pkey 和 pkeyparam 命令行應用程式也容易受到影響。OpenSSL SSL/TLS 實作不受此問題影響。OpenSSL 3.0 和 3.1 FIPS 提供者受此問題影響。(CVE-2024-4603)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。