-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Poważna luka w OpenSSL – można zdalnie zabijać serwery (DoS). Łatajcie również urządzenia…

25 marca 2021, 19:00 | W biegu | komentarzy 8

Projekt OpenSSL załatał właśnie dwie podatności (obie zostały oznaczone ~ryzykiem High). Istotniejsza wydaje się być luka CVE-2021-3449, bo można ją wykorzystać w domyślnych konfiguracjach:

An OpenSSL TLS server may crash if sent a maliciously crafted renegotiation ClientHello message from a client. If a TLSv1.2 renegotiation ClientHello omits the signature_algorithms extension (where it was present in the initial ClientHello), but includes a signature_algorithms_cert extension then a NULL pointer dereference will result, leading to a crash and a denial of service attack. A server is only vulnerable if it has TLSv1.2 and renegotiation enabled (which is the default configuration).

Na szybko (tj. bez aplikowania łatki) można pozostawić na serwerze tylko TLS 1.3.

Tematowi przyglądają się również producenci urządzeń – zapewne niedługo pojawią się stosowne aktualizacje.

Podatne są wersje OpenSSLa w przedziale: 1.1.1-1.1.1j

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Władek

    Z tego co widzę to Centos 7.9 ma nadal starego nie suportowanego open ssl „openssl version” OpenSSL 1.0.2k-fips tylko wersja 1.1.1 obsługuje TSL 1.3

    No nic nginx ma wyłączone regenogecjację więc jego także nie dotyczny SSH nie obsługuje ssl więc idę sobie spać

    https://stackoverflow.com/questions/19992279/how-to-disable-tls-renegotiation-in-nginx

    a w nginxie można wyłąćzyć TSL 1.3 jak ktoś tam korzysta z ubuntu a nie ma patcha

    ssl_protocols TLSv1.2 TLSv1.3;

    Odpowiedz
    • Olgierd

      Po co wyłączać TLS 1.3?

      Odpowiedz
    • xxx

      Od wersji 1.13 nginx obsługuje ponownie, ale dla backendu. Więc ważne, jeżeli masz niezaufany backend (jesteś reverse proxy dla świata).

      Odpowiedz
  2. Adam

    Wytłumaczcie proszę laikowi – podatność tyczy się certów wygenerowanych przez openssl-a w danej wersji?

    Odpowiedz
    • Tak na szybko to raczej używanie wersji openssl danego typu jest problematyczne.

      Odpowiedz
  3. Lacky
    Odpowiedz
  4. Odim
    Odpowiedz

Odpowiedz na Lacky