OpenSSL 3.5.0 < 3.5.6 多個弱點

high Nessus Plugin ID 302500

語言:

概要

遠端服務受到多種弱點的影響。

說明

遠端主機上安裝的 OpenSSL 為 3.5.6 之前版本。因此，會受到 3.5.6 公告中所提及的多個弱點影響。

- 問題摘要：OpenSSL TLS 1.3 伺服器在其金鑰交換群組組態包含使用「DEFAULT」關鍵字的預設值時，可能無法交涉預期的偏好金鑰交換群組。影響摘要：如果用戶端的初始述詞金鑰共用中未包含偏好較高的群組，則即使用戶端和伺服器皆支援偏好較低的金鑰交換，也可能會使用該群組。如果用戶端選擇延遲使用，直到伺服器特別要求時，新的混合 post-quantum 群組有時會發生此情況。如果 OpenSSL TLS 1.3 伺服器的組態使用「DEFAULT」關鍵字將內建的預設群組清單插入其本身的組態，可能會新增或移除特定元素，則實作缺陷會造成「DEFAULT」清單遺失其「tuple」結構，且所有伺服器支援的群組都被視為一個足夠安全的「tuple」，因此即使在更偏好的 tuple 中的群組受到相互支援，伺服器也不會傳送 Hello Retry Request (HRR)。因此，如果用戶端的組態只產生「classical」群組 (例如「X25519」是用戶端的初始 keyshare 預測中唯一的群組)，則用戶端和伺服器可能無法交涉相互支援的 post-quantum 金鑰協議群組，例如「X25519MLKEM768」。
OpenSSL 3.5 和更新版本支援用於選取 TLS 伺服器上最偏好的 TLS 1.3 金鑰協議群組的新語法。舊語法具有單一「flat」群組清單，並將所有受支援的群組視為足夠安全。如果用戶端預測的任何 keyshare 受到伺服器支援，則即使用戶端支援但未包含在預測 keyshare 清單中的其他群組 (若包含) 具有更高優先級，伺服器仍會選取其中優先級最高的一個群組。新語法會將群組分割為安全性大致相同的不同「元組」。在每個元組內，會選擇用戶端預測 keyshare 中包含的優先級最高的群組，但如果用戶端支援來自較偏好元組的群組，但並未預測任何對應的 keyshare，則伺服器會要求用戶端重試 ClientHello (透過發出 Hello Retry Request (HRR)) 與優先級最高的相互支援的群組。當伺服器的組態使用內建的預設群組清單，或透過直接定義各種所需的群組和群組「元組」來明確定義自己的清單時，上述項目可如預期運作。沒有 OpenSSL FIPS 模組受到此問題影響，因為有問題的程式碼位於 FIPS 邊界之外。
OpenSSL 3.6 至 3.5 受此問題影響。OpenSSL 3.6 使用者應在 OpenSSL 3.6.2 發行後升級至該版本。OpenSSL 3.5 使用者應在 OpenSSL 3.5.6 發行後升級至該版本。OpenSSL 3.4、3.3、3.0、1.0.2 和 1.1.1 不會受到此問題影響。(CVE-2026-2673)

- 問題摘要：使用 RSASVE 金鑰封裝來建立私密加密金鑰的應用程式可將未初始化記憶體緩衝區中的內容傳送至惡意對等端。影響摘要：未初始化的緩衝區可能含有先前執行應用程式處理程序時產生的敏感資料，從而導致敏感資料洩漏給攻擊者。RSA_public_encrypt() 函式會在執行成功時傳回寫入的位元組數，錯誤時則會傳回 -1。受影響的程式碼只會測試傳回值是否為非零。因此，如果 RSA 加密失敗，封裝函式仍可向呼叫者傳回成功狀態、設定輸出長度，並讓呼叫者使用加密文字緩衝區的內容，就像已經產生有效的 KEM 加密文字一樣。如果應用程式在使用 RSA/RSASVE 呼叫 EVP_PKEY_encapsulate() 時，使用了攻擊者提供的無效 RSA 公開金鑰且未先對其進行驗證，這可能會導致系統將呼叫者提供的加密文字緩衝區中過時或未初始化的內容洩漏給攻擊者，以取代 KEM 加密文字。在呼叫 EVP_PKEY_encapsulate() 之前呼叫 EVP_PKEY_public_check() 或 EVP_PKEY_public_check_quick()，此因應措施可減輕此問題。3.6、3.5、3.4、3.3、3.1 和 3.0 中的 FIPS 模組不受此問題影響。
已在 OpenSSL 3.0.20 版中修正此問題 (受影響的是 3.0.0 和之後版本)。(CVE-2026-31790)

- 問題摘要：將過大的 OCTET STRING 值轉換為十六進位字串，會導致在 32 位元平台上發生堆積緩衝區溢位。影響摘要：堆積緩衝區溢位可能導致當機，或可能導致攻擊者控製程式碼執行或其他未定義的行為。如果攻擊者可以在主體金鑰識別碼 (SKID) 或授權金鑰識別碼 (AKID) 等要轉換為十六進位的延伸模組中，提供具有過大 OCTET STRING 值的特製 X.509 憑證，則以輸入長度乘以 3，來計算結果所需的緩衝區大小。在 32 位元平台上，此乘法可能會導致溢位，進而導致較小的緩衝區配置和堆積緩衝區溢位。列印或記錄未受信任之 X.509 憑證內容的應用程式和服務容易受此問題影響。由於憑證的大小必須超過 1 GB，因此不太可能執行列印或記錄此類憑證的作業，並且只有 32 位元平台受到影響，因此此問題的嚴重性被劃分為「低」。3.6、3.5、3.4、3.3 和 3.0 中的 FIPS 模組不受此問題影響，因為受影響程式碼位於 OpenSSL FIPS 模組邊界之外。已在 OpenSSL 3.0.20 版中修正此問題 (受影響的是 3.0.0 和之後版本)。(CVE-2026-31789)

- 問題摘要：在處理含有 KeyTransportRecipientInfo 的特製 CMS EnvelopedData 訊息期間，可能會發生 NULL 指標解除參照。影響摘要：處理由攻擊者控制的 CMS 資料的應用程式可能在驗證或密碼編譯作業發生之前損毀，從而導致拒絕服務。
以 RSA-OAEP 加密處理使用 KeyTransportRecipientInfo 的 CMS EnvelopedData 訊息時，系統會在未檢查其是否存在的情況下，檢查 RSA-OAEP SourceFunc 演算法識別碼的選用參數欄位。如有欄位遺漏，將會導致 NULL 指標解除參照。
在不受信任的輸入 (例如 S/MIME 處理或 CMS 型通訊協定) 上呼叫 CMS_decrypt() 的應用程式和服務容易受到影響。3.6、3.5、3.4、3.3 和 3.0 中的 FIPS 模組不受此問題影響，因為受影響程式碼位於 OpenSSL FIPS 模組邊界之外。已在 OpenSSL 1.1.1zg 版中修正此問題 (受影響的是 1.1.1 和之後版本)。(CVE-2026-28390)

- 問題摘要：在處理含有 KeyAgreeRecipientInfo 的特製 CMS EnvelopedData 訊息期間，可能會發生 NULL 指標解除參照。影響摘要：處理由攻擊者控制的 CMS 資料的應用程式可能在驗證或密碼編譯作業發生之前損毀，從而導致拒絕服務。處理使用 KeyAgreeRecipientInfo 的 CMS EnvelopedData 訊息時，系統會在未檢查其是否存在的情況下，檢查 KeyEncryptionAlgorithmIdentifier 演算法識別碼的選用參數欄位。如有欄位遺漏，將會導致 NULL 指標解除參照。在不受信任的輸入 (例如 S/MIME 處理或 CMS 型通訊協定) 上呼叫 CMS_decrypt() 的應用程式和服務容易受到影響。3.6、3.5、3.4、3.3 和 3.0 中的 FIPS 模組不受此問題影響，因為受影響程式碼位於 OpenSSL FIPS 模組邊界之外。已在 OpenSSL 1.1.1zg 版中修正此問題 (受影響的是 1.1.1 和之後版本)。(CVE-2026-28389)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。