OpenSSL 3.0.0 < 3.0.1 漏洞

medium Nessus 插件 ID 156100

简介

远程服务受到漏洞影响。

描述

远程主机上安装的 OpenSSL 版本低于 3.0.1。因此,该应用程序受到 3.0.1 公告中提及的漏洞的影响。

- OpenSSL 中的 libssl 通过在内部调用客户端上的 X509_verify_cert(),来验证服务器提供的证书。该函数可能返回负的返回值以指示内部错误(例如内存不足)。OpenSSL 错误处理此类负返回值时,将导致 IO 函数(如 SSL_connect() 或 SSL_do_handshake())指示失败,并继续调用 SSL_get_error() 以返回值 SSL_ERROR_WANT_RETRY_VERIFY。如果 OpenSSL 之前已调用 SSL_CTX_set_cert_verify_callback(),则应仅由该应用程序返回此返回值。由于大多数应用程序不会执行此操作,因此 SSL_GET_error() 将意外返回值 SSL_ERROR_WANT_RETRY_VERIFY,且应用程序可能无法正确运行。确切行为将取决于应用程序,但有可能造成崩溃、无限循环或其他类似的错误响应。
结合 OpenSSL 3.0 中单独存在的缺陷,此问题会造成更加严重的后果,即导致 X509_verify_cert() 在处理证书链时指示内部错误。如果证书不包含使用者备用名称扩展,但证书颁发机构已强制实施名称限制,即会发生这种情况。即使使用有效链,仍会发生此问题。通过结合利用这两个问题,攻击者可致使应用程序执行不正确的行为。已在 OpenSSL 3.0.1 中修复(影响 3.0.0)。(CVE-2021-4044)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级到 OpenSSL 版本 3.0.1 或更高版本。

另见

http://www.nessus.org/u?a7b84fa5

https://www.openssl.org/news/secadv/20211214.txt

插件详情

严重性: Medium

ID: 156100

文件名: openssl_3_0_1.nasl

版本: 1.6

类型: remote

系列: Web Servers

发布时间: 2021/12/15

最近更新时间: 2022/2/8

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: AV:N/AC:M/Au:N/C:P/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2021-4160

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:openssl:openssl

必需的 KB 项: openssl/port

易利用性: No known exploits are available

补丁发布日期: 2021/12/14

漏洞发布日期: 2021/12/14

参考资料信息

CVE: CVE-2021-4044, CVE-2021-4160

IAVA: 2021-A-0602