Af Eskil Sørensen, 23/04/20
Sårbarheden beskrives som en ”segmentation fault” i den såkaldte SSL_check-chain funktionen. Det indebærer, at OpenSSL-programmet kan gå i sort, hvis det modtager en ’dårlig’ signature algoritme. Hvis en webserver fx anvender den sårbare version af OpenSSL, vil en angriber kunne få held med at fodre serveren med en dårlig signature algoritme. Det vil efterhånden medføre, at de fleste (eller alle) de apache-processer, som skulle tage sig af at give svar, kommer til at hænge, og serveren er i sort.
Sårbarheden påvirker OpenSSL-versioner med numrene 1.1.1d, 1.1.1e og 1.1.1f, mens ældre versioner, som ikke længere modtagere opdateringer, ikke er påvirket. Med opdateringen hedder den nyeste version af OpenSSL 1.1.1g.
OpenSSL er en open source-implementering af sikkerhedsprotokollerne SSL og TLS. Det er de protokoller, der gør det muligt at kryptere trafikken ved anvendelse af https.
Links:
https://www.securityweek.com/high-severity-vulnerability-openssl-allows-dos-attacks
https://www.openssl.org/news/secadv/20200421.txt
https://securityaffairs.co/wordpress/101997/security/openssl-cve-2020-1967-dos-issue.html