OpenSSL Project retter alvorlig sårbarhed

OpenSSL Project har udsendt en sikkerhedsopdatering til OpenSSL, der imødegår risikoen for at angribere kan udnytte en sårbarhed til at iværksætte DoS-angreb.

Sårbarheden beskrives som en ”segmentation fault” i den såkaldte SSL_check-chain funktionen. Det indebærer, at OpenSSL-programmet kan gå i sort, hvis det modtager en ’dårlig’ signature algoritme. Hvis en webserver fx anvender den sårbare version af OpenSSL, vil en angriber kunne få held med at fodre serveren med en dårlig signature algoritme. Det vil efterhånden medføre, at de fleste (eller alle) de apache-processer, som skulle tage sig af at give svar, kommer til at hænge, og serveren er i sort.

Sårbarheden påvirker OpenSSL-versioner med numrene 1.1.1d, 1.1.1e og 1.1.1f, mens ældre versioner, som ikke længere modtagere opdateringer, ikke er påvirket. Med opdateringen hedder den nyeste version af OpenSSL 1.1.1g.

OpenSSL er en open source-implementering af sikkerhedsprotokollerne SSL og TLS. Det er de protokoller, der gør det muligt at kryptere trafikken ved anvendelse af https.  

Links:

https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks

https://www.openssl.org/news/secadv/20200421.txt

https://securityaffairs.co/wordpress/101997/security/openssl-cve-2020-1967-dos-issue.html