OpenSSL 3.6.0 < 3.6.2 多個弱點

critical Nessus Plugin ID 302501

語言:

概要

遠端服務受到多種弱點的影響。

說明

遠端主機上安裝的 OpenSSL 為 3.6.2 之前版本。因此，會受到 3.6.2 公告中所提及的多個弱點影響。

- 問題摘要：OpenSSL TLS 1.3 伺服器在其金鑰交換群組組態包含使用「DEFAULT」關鍵字的預設值時，可能無法交涉預期的偏好金鑰交換群組。影響摘要：如果用戶端的初始述詞金鑰共用中未包含偏好較高的群組，則即使用戶端和伺服器皆支援偏好較低的金鑰交換，也可能會使用該群組。如果用戶端選擇延遲使用，直到伺服器特別要求時，新的混合 post-quantum 群組有時會發生此情況。如果 OpenSSL TLS 1.3 伺服器的組態使用「DEFAULT」關鍵字將內建的預設群組清單插入其本身的組態，可能會新增或移除特定元素，則實作缺陷會造成「DEFAULT」清單遺失其「tuple」結構，且所有伺服器支援的群組都被視為一個足夠安全的「tuple」，因此即使在更偏好的 tuple 中的群組受到相互支援，伺服器也不會傳送 Hello Retry Request (HRR)。因此，如果用戶端的組態只產生「classical」群組 (例如「X25519」是用戶端的初始 keyshare 預測中唯一的群組)，則用戶端和伺服器可能無法交涉相互支援的 post-quantum 金鑰協議群組，例如「X25519MLKEM768」。
OpenSSL 3.5 和更新版本支援用於選取 TLS 伺服器上最偏好的 TLS 1.3 金鑰協議群組的新語法。舊語法具有單一「flat」群組清單，並將所有受支援的群組視為足夠安全。如果用戶端預測的任何 keyshare 受到伺服器支援，則即使用戶端支援但未包含在預測 keyshare 清單中的其他群組 (若包含) 具有更高優先級，伺服器仍會選取其中優先級最高的一個群組。新語法會將群組分割為安全性大致相同的不同「元組」。在每個元組內，會選擇用戶端預測 keyshare 中包含的優先級最高的群組，但如果用戶端支援來自較偏好元組的群組，但並未預測任何對應的 keyshare，則伺服器會要求用戶端重試 ClientHello (透過發出 Hello Retry Request (HRR)) 與優先級最高的相互支援的群組。當伺服器的組態使用內建的預設群組清單，或透過直接定義各種所需的群組和群組「元組」來明確定義自己的清單時，上述項目可如預期運作。沒有 OpenSSL FIPS 模組受到此問題影響，因為有問題的程式碼位於 FIPS 邊界之外。
OpenSSL 3.6 至 3.5 受此問題影響。OpenSSL 3.6 使用者應在 OpenSSL 3.6.2 發行後升級至該版本。OpenSSL 3.5 使用者應在 OpenSSL 3.5.6 發行後升級至該版本。OpenSSL 3.4、 3.3、 3.0、 1.0.2 和 1.1.1 不受此問題影響。 (CVE-2026-2673)

- Debian Linux - openssl - 無 Red Hat Enterprise Linux - openssl透過無效 RSA 公開金鑰從未初始化的記憶體洩漏資訊 (CVE-2026-31790)

- Debian Linux - openssl - 無 (CVE-2026-28389, CVE-2026-28390, CVE-2026-31789)

- 問題摘要處理包含 Delta CRL 指標延伸的 delta CRL 時如果缺少必要的 CRL 編號延伸可能會發生 NULL 指標解除參照。影響摘要NULL 指標解除參照可觸發損毀進而導致應用程式拒絕服務。在 X.509 憑證驗證期間啟用 CRL 處理和 delta CRL 處理時delta CRL 處理在解除參照 CRL 號碼延伸模組之前不會先檢查其是否為 NULL。處理格式錯誤的 delta CRL 檔案時此參數可能為 NULL進而造成 NULL 指標解除參照。惡意利用此問題需要在驗證內容中啟用 X509_V_FLAG_USE_DELTAS 旗標、要驗證包含 freshestCRL 延伸模組或基礎 CRL 的憑證必須設定 EXFLAG_FRESHEST 旗標以及攻擊者提供格式錯誤的 CRL 給處理它的應用程式。此弱點僅會導致程式拒絕服務，不會造成程式碼執行攻擊或記憶體洩漏。因此，根據我們的安全性原則，將此問題的嚴重性評估為「低危」。 3.6、 3.5、 3.4、 3.3 和 3.0 中的 FIPS 模組不受此問題影響因為受影響的程式碼超出 OpenSSL FIPS 模組邊界。已在 OpenSSL 3.6.2 版中修正此問題 (受影響的是 3.6.0 和之後版本)。
(CVE-2026-28388)

- 問題摘要執行 DANE TLSA 型伺服器驗證的用戶端有一個不常見的組態當與不常見的伺服器 DANE TLSA 記錄配對時可能會在用戶端上造成釋放後使用和/或重複釋放。影響摘要：釋放後使用可能會造成一系列潛在後果，例如有效資料損毀、當機或任意程式碼執行。不過該問題只會影響同時使用 PKIX-TA(0/PKIX-EE(1) 憑證和 DANE-TA(2) 憑證使用 TLSA 記錄的用戶端。到目前為止最常見的 DANE 部署是在 SMTP MTA 中其中 RFC7672 建議用戶端將具有 PKIX 憑證使用量的任何 TLSA 記錄視為「無法使用」。這些 SMTP (或其他類似) 用戶端不受此問題影響。相反地任何僅支援 PKIX 使用方式而忽略 DANE-TA(2) 使用方式的用戶端也不受影響。用戶端也必須與發布具有這兩種 TLSA 記錄類型之 TLSA RRset 的伺服器通訊。此問題不影響任何 FIPS 模組問題程式碼超出 FIPS 模組邊界。已在 OpenSSL 3.6.2 版中修正此問題 (受影響的是 3.6.0 和之後版本)。(CVE-2026-28387)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。