Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Poważna luka w OpenSSL – można zdalnie zabijać serwery (DoS). Łatajcie również urządzenia…
Projekt OpenSSL załatał właśnie dwie podatności (obie zostały oznaczone ~ryzykiem High). Istotniejsza wydaje się być luka CVE-2021-3449, bo można ją wykorzystać w domyślnych konfiguracjach:
An OpenSSL TLS server may crash if sent a maliciously crafted renegotiation ClientHello message from a client. If a TLSv1.2 renegotiation ClientHello omits the signature_algorithms extension (where it was present in the initial ClientHello), but includes a signature_algorithms_cert extension then a NULL pointer dereference will result, leading to a crash and a denial of service attack. A server is only vulnerable if it has TLSv1.2 and renegotiation enabled (which is the default configuration).
Na szybko (tj. bez aplikowania łatki) można pozostawić na serwerze tylko TLS 1.3.
Tematowi przyglądają się również producenci urządzeń – zapewne niedługo pojawią się stosowne aktualizacje.
Podatne są wersje OpenSSLa w przedziale: 1.1.1-1.1.1j
–ms
Z tego co widzę to Centos 7.9 ma nadal starego nie suportowanego open ssl „openssl version” OpenSSL 1.0.2k-fips tylko wersja 1.1.1 obsługuje TSL 1.3
No nic nginx ma wyłączone regenogecjację więc jego także nie dotyczny SSH nie obsługuje ssl więc idę sobie spać
https://stackoverflow.com/questions/19992279/how-to-disable-tls-renegotiation-in-nginx
a w nginxie można wyłąćzyć TSL 1.3 jak ktoś tam korzysta z ubuntu a nie ma patcha
ssl_protocols TLSv1.2 TLSv1.3;
Po co wyłączać TLS 1.3?
Od wersji 1.13 nginx obsługuje ponownie, ale dla backendu. Więc ważne, jeżeli masz niezaufany backend (jesteś reverse proxy dla świata).
Wytłumaczcie proszę laikowi – podatność tyczy się certów wygenerowanych przez openssl-a w danej wersji?
Tak na szybko to raczej używanie wersji openssl danego typu jest problematyczne.
Na potrzeby testów można wykorzystać skrypt z pakietu tlsfuzzer https://github.com/tlsfuzzer/tlsfuzzer/pull/748
Łatka jest „po byku” widać :D
https://0x0.st/NlVh
Jeszcze ten commit https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=d33c2a3d8453a75509bcc8d2cf7d2dc2a3a518d0