O OpenSSL Project alertou sobre uma falha de segurança de “alta gravidade” no kit de ferramentas TLS/SSL que expõe os usuários a ataques de negação de serviço (DoS). A vulnerabilidade foi relatada pelo pesquisador do Google, David Benjamin.
O alerta publicado pelo OpenSSL Project diz:
O tipo X.509 GeneralName é um tipo genérico para representar diferentes tipos de nomes. Um desses tipos de nome é conhecido como EDIPartyName. O OpenSSL fornece uma função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME para ver se são iguais ou não.
Esta função se comporta incorretamente quando os dois GENERAL_NAMEs contêm um EDIPARTYNAME. Uma falha pode ocorrer, levando a um possível ataque de negação de serviço.
OpenSSL é afetado por falha de segurança
A falha deriva da função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME usando certificados X.509.
A função GENERAL_NAME_cmp é usada para as seguintes finalidades:
- Comparar nomes de pontos de distribuição de CRL entre uma CRL disponível e um ponto de distribuição de CRL embutido em um certificado X509.
- Ao verificar se um signatário do token de resposta do carimbo de data/hora corresponde ao nome da autoridade do carimbo de data/hora (exposto por meio das funções de API TS_RESP_verify_response e TS_RESP_verify_token).
Um invasor pode acionar um confronto controlando os dois itens que estão sendo comparados. Isso é possível, por exemplo, se o invasor conseguir enganar um cliente ou servidor para que verifique um certificado malicioso em uma CRL maliciosa.
A falha afeta todas as versões do OpenSSL 1.1.1 e 1.0.2; os usuários são incentivados a atualizar para o OpenSSL 1.1.1i.
Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.
Security Affairs
