OpenSSL 3.5.0 < 3.5.6 弱點

high Nessus Plugin ID 302500

語言:

概要

遠端服務受到一個弱點的影響。

說明

遠端主機上安裝的 OpenSSL 為 3.5.6 之前版本。因此，它會受到 3.5.6 公告中提及的一個弱點影響。

- 問題摘要：OpenSSL TLS 1.3 伺服器在其金鑰交換群組組態包含使用「DEFAULT」關鍵字的預設值時，可能無法交涉預期的偏好金鑰交換群組。影響摘要：如果用戶端的初始述詞金鑰共用中未包含偏好較高的群組，則即使用戶端和伺服器皆支援偏好較低的金鑰交換，也可能會使用該群組。如果用戶端選擇延遲使用，直到伺服器特別要求時，新的混合 post-quantum 群組有時會發生此情況。如果 OpenSSL TLS 1.3 伺服器的組態使用「DEFAULT」關鍵字將內建的預設群組清單插入其本身的組態，可能會新增或移除特定元素，則實作缺陷會造成「DEFAULT」清單遺失其「tuple」結構，且所有伺服器支援的群組都被視為一個足夠安全的「tuple」，因此即使在更偏好的 tuple 中的群組受到相互支援，伺服器也不會傳送 Hello Retry Request (HRR)。因此，如果用戶端的組態只產生「classical」群組 (例如「X25519」是用戶端的初始 keyshare 預測中唯一的群組)，則用戶端和伺服器可能無法交涉相互支援的 post-quantum 金鑰協議群組，例如「X25519MLKEM768」。
OpenSSL 3.5 和更新版本支援用於選取 TLS 伺服器上最偏好的 TLS 1.3 金鑰協議群組的新語法。舊語法具有單一「flat」群組清單，並將所有受支援的群組視為足夠安全。如果用戶端預測的任何 keyshare 受到伺服器支援，則即使用戶端支援但未包含在預測 keyshare 清單中的其他群組 (若包含) 具有更高優先級，伺服器仍會選取其中優先級最高的一個群組。新語法會將群組分割為安全性大致相同的不同「元組」。在每個元組內，會選擇用戶端預測 keyshare 中包含的優先級最高的群組，但如果用戶端支援來自較偏好元組的群組，但並未預測任何對應的 keyshare，則伺服器會要求用戶端重試 ClientHello (透過發出 Hello Retry Request (HRR)) 與優先級最高的相互支援的群組。當伺服器的組態使用內建的預設群組清單，或透過直接定義各種所需的群組和群組「元組」來明確定義自己的清單時，上述項目可如預期運作。沒有 OpenSSL FIPS 模組受到此問題影響，因為有問題的程式碼位於 FIPS 邊界之外。
OpenSSL 3.6 至 3.5 受此問題影響。OpenSSL 3.6 使用者應在 OpenSSL 3.6.2 發行後升級至該版本。OpenSSL 3.5 使用者應在 OpenSSL 3.5.6 發行後升級至該版本。OpenSSL 3.4、3.3、3.0、1.0.2 和 1.1.1 亦不會受到此問題影響。已在 OpenSSL 3.5.6 版中修正此問題 (受影響的是 3.5.0 和之後版本)。
(CVE-2026-2673)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。