OpenSSL corrige falhas que poderiam ocasionar quedas de servidores

Administradores de sistema são aconselhados a atualizar para a versão mais recente que soluciona vulnerabilidades

OpenSSL Software Foundation

Os usuários da biblioteca de criptografia OpenSSL devem atualizar imediatamente para a versão mais recente, para eliminar falhas graves que permitem aos invasores explorá-las. O alerta foi anunciado por alguns especialistas em segurança após o lançamento de um comunicado de segurança pela OpenSSL Software Foundation.

OpenSSL, uma das bibliotecas de software mais comumente usadas, é um kit de ferramentas para os protocolos Transport Layer Security, ou TLS, e Secure Sockets Layer, ou SSL, e uma biblioteca de criptografia de uso geral amplamente usada para construir aplicativos de rede e servidores que exigem segurança em suas comunicações.

A atualização aborda duas vulnerabilidades consideradas críticas. CVE-2021-3449 é uma falha de negação de serviço devido a um erro gerado no ponteiro NULL nas configurações do servidor padrão, que impacta o servidor OpenSSL e não os clientes. CVE-2021-3450 é uma falha de verificação de certificado que afeta tanto o servidor quanto os clientes, permitindo um bypass de verificação de Certificado de uma Autoridade Certificadora (AC).

Corrigir as duas falhas de alta gravidade com uma atualização para a versão mais recente do OpenSSL é uma etapa essencial de mitigação de risco, diz Tim Mackey, estrategista de segurança principal do Synopsys Cybersecurity Research Center.

Negação de Serviço

CVE-2021-3449 faz com que um servidor OpenSSL TLS trave se for enviada uma mensagem ClientHello de renegociação criada com códigos maliciosos de um cliente, relata o comunicado.

“Se um ClientHello de renegociação TLSv1.2 omite a extensão de algoritmos de assinatura (onde estava presente no ClientHello inicial), mas inclui uma extensão signature_algorithms_cert, ocorrerá uma anulação de referência do ponteiro NULL, levando a uma falha e a um ataque de negação de serviço”. Diz as notas consultivas.

Um servidor fica vulnerável a esse ataque se tiver TLSv1.2 e renegociação habilitada – que é a configuração padrão. A OpenSSL Foundation afirma que os clientes TLS não são afetados por esse problema. Mas, como todas as versões do OpenSSL 1.1.1 são afetadas, a fundação recomenda que os usuários atualizem para o OpenSSL 1.1.1k.

“No caso do CVE-2021-3449, um invasor pode montar um ataque de negação de serviço contra uma configuração padrão de um servidor executando qualquer versão do OpenSSL 1.1.1”, observa Mackey.

“Este problema foi relatado ao OpenSSL em 17 de março de 2021 pela Nokia, e a correção foi desenvolvida por Peter Kästle e Samuel Sapalski da Nokia“, afirma o consultor.

Bypass de verificação de certificado de CA

CVE-2021-3450 envolve a interação entre um sinalizador X509_V_FLAG_X509_STRICT encontrado no código. Este sinalizador permite verificações de segurança adicionais dos certificados presentes em uma cadeia de certificados. O aviso informa que, por padrão, esta configuração está aberta e necessita de atenção.

Um erro nesta configuração pode significar um bypass na verificação da autenticidade de um Certificado, permitindo que seja sobrescrito por um Certificado fraudado.

Para que os certificados sejam substituídos ou removidos por um aplicativo devido a esta falha, o aplicativo deve definir o sinalizador de verificação X509_V_FLAG_X509_STRICT e não definir uma finalidade (purpose) para a verificação do certificado ou, no caso de aplicativos de cliente ou servidor TLS, substituir a finalidade padrão.

“A partir do OpenSSL versão 1.1.1h, uma verificação para proibir certificados na cadeia que codificaram explicitamente os parâmetros da curva elíptica foi adicionada como uma verificação adicional”, afirmam as notas de recomendação.

Este problema foi relatado ao OpenSSL em 18 de março por Benjamin Kaduk da Akamai e foi descoberto por Xiang Ding e outros na Akamai, acrescentando que a correção foi criada por Tomáš Mráz, um desenvolvedor de software na OpenSSL Software Foundation.

Você pode encontrar maiores detalhes sobre esta atualização clicando aqui.

Posts relacionados: ITI prepara-se para obter o selo de Webtrust SSL e Identifique e evite ataques de ransomware

Informações obtidas/adaptadas de https://us-cert.cisa.gov/ncas/current-activity/2021/03/26/openssl-releases-security-update