OpenSSL-kwetsbaarheid maakt dos-aanval op servers en clients mogelijk

[Captain Kirk]

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen.

Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters.

"Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten.

De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

 

bron: https://www.security.nl