Várias vulnerabilidades do OpenSSL nos produtos OneSpan

ID consultivo vasco-sa-20150413-openssl

Revisão número 1.0

Data de lançamento 03 de setembro de 2015 10:53 UTC + 1

Última atualização 03 de setembro de 2015 10:53 UTC + 1

Resumo

Em 19 de março de 2015, o Projeto OpenSSL publicou um aviso de segurança descrevendo quatorze vulnerabilidades na biblioteca OpenSSL. As vulnerabilidades são referidas da seguinte forma:

OpenSSL 1.0.2 ClientHello significa DoS (CVE-2015-0291)

Reclassificado: o RSA é rebaixado silenciosamente para EXPORT_RSA [Cliente] (CVE-2015-0204)

Ponteiro corrompido multibloqueio (CVE-2015-0290)

Falha na segmentação em DTLSv1_listen (CVE-2015-0207)

Falha na segmentação em ASN1_TYPE_cmp (CVE-2015-0286)

Problema de segmentação para parâmetros PSS inválidos (CVE-2015-0208)

Corrupção de memort de reutilização de estrutura ANS.1 (CVE-2015-0287)

Desreferências de ponteiro NULL PKCS7 (CVE-2015-0289)

Decodificação Base64 (CVE-2015-0292)

DoS via declaração alcançável em servidores SSLv2 (CVE-2015-0293)

CKE vazio com autenticação de cliente e DHE (CVE-2015-1787)

Aperto de mão com PRNG sem semente (CVE_2015-0285)

Use After Free após o erro d2i_ECPrivatekey (CVE-2015-0209)

X509_to_X509_REQ NULL pointer deref (CVE-2015-0288)

Vários produtos OneSpan incorporam uma versão da biblioteca OpenSSL afetada por uma ou mais vulnerabilidades que podem permitir que um invasor remoto não autenticado realize um ataque man-in-the-middle, injete dados da sessão SSL / TLS ou interrompa a disponibilidade de um serviço.

Produtos impactados

Os seguintes produtos são afetados por uma ou mais das vulnerabilidades mencionadas acima:

Servidor de Federação IDENTIKEY 1.4, 1.5

Servidor de autenticação IDENTIKEY 3.4 SR1, 3.5, 3.6

Todas as versões suportadas do dispositivo IDENTIKEY (Virtual)

aXsGUARD Gatekeeper 7.7.x, 8.0.0, 8.1.0

Produtos afetados

Descrição

As seguintes descrições de vulnerabilidade são extraídas do Aviso de segurança do OpenSSL

OpenSSL 1.0.2 ClientHello sinaliza DoS (CVE-2015-0291)

Se um cliente se conectar a um servidor OpenSSL 1.0.2 e renegociar com uma extensão de algoritmos de assinatura inválida, ocorrerá uma desreferência de ponteiro NULL. Isso pode ser explorado em um ataque do Dos contra o servidor

Reclassificado: o RSA é rebaixado silenciosamente para EXPORT_RSA [Cliente] (CVE-2015-0204)

Esse problema de segurança foi anunciado anteriormente pelo projeto OpenSSL e classificado como severidade "baixa". Esta classificação de gravidade foi alterada para "alta".

Isso foi classificado como baixo porque originalmente se pensava que o suporte ao ciphersuite de exportação do servidor RSA era raro: um cliente era vulnerável apenas a um ataque MITM contra um servidor que suporta um ciphersuite de exportação RSA. Estudos recentes mostraram que o suporte a ciphersuites de exportação para RSA é muito mais comum.

Ponteiro corrompido multibloqueio (CVE-2015-0290)

O OpenSSL 1.0.2 introduziu a melhoria de desempenho "multibloqueio". Esse recurso se aplica apenas às plataformas de arquitetura x86 de 64 bits que suportam as instruções da AES NI. Um defeito na implementação do "multibloqueio" pode fazer com que o buffer de gravação interno do OpenSSL seja configurado incorretamente como NULL ao usar E / S não bloqueadora. Normalmente, quando o aplicativo do usuário está usando um soquete BIO para gravação, isso resultará apenas em uma falha na conexão. No entanto, se alguma outra BIO for usada, é provável que uma falha de segmentação seja acionada, permitindo um possível ataque de DoS.

Falha na segmentação em DTLSv1_listen (CVE-2015-0207)

A função DTLSv1_listen deve ser sem estado e processa o ClientHello inicial de muitos pares. É comum que o código do usuário faça loop na chamada para DTLSv1_listen até que um ClientHello válido seja recebido com um cookie associado. Um defeito na implementação de DTLSv1_listen significa que o estado é preservado no objeto SSL de uma chamada para a próxima que pode levar a uma falha de segmentação. Erros ao processar o ClientHello inicial podem acionar esse cenário. Um exemplo desse erro pode ser o fato de um cliente somente DTLS1.0 estar tentando se conectar a um servidor somente DTLS1.2.

Falha na segmentação em ASN1_TYPE_cmp (CVE-2015-0286)

A função ASN1_TYPE_cmp falhará com uma leitura inválida se for feita uma tentativa de comparar os tipos booleanos ASN.1. Como ASN1_TYPE_cmp é usado para verificar a consistência do algoritmo de assinatura de certificado, isso pode ser usado para travar qualquer operação de verificação de certificado e explorado em um ataque de DoS. Qualquer aplicativo que executa a verificação de certificado é vulnerável, incluindo clientes e servidores OpenSSL que habilitam a autenticação do cliente.

Falha na segmentação para parâmetros PSS inválidos (CVE-2015-0208)

As rotinas de verificação de assinatura falharão com uma desreferência de ponteiro NULL se apresentada com uma assinatura ASN.1 usando o algoritmo RSA PSS e parâmetros inválidos. Como essas rotinas são usadas para verificar os algoritmos de assinatura de certificado, isso pode ser usado para travar qualquer operação de verificação de certificado e explorado em um ataque de DoS. Qualquer aplicativo que executa a verificação de certificado é vulnerável, incluindo clientes e servidores OpenSSL que habilitam a autenticação do cliente.

Corrupção de memória de reutilização da estrutura ASN.1 (CVE-2015-0287)

Reutilizar uma estrutura na análise ASN.1 pode permitir que um invasor cause corrupção de memória por meio de uma gravação inválida. Essa reutilização é e tem sido fortemente desencorajada e acredita-se que seja rara.
Os aplicativos que analisam estruturas que contêm componentes CHOICE ou QUALQUER DEFINIDO POR podem ser afetados. A análise de certificado (d2i_X509 e funções relacionadas) não é afetada. Clientes e servidores OpenSSL não são afetados.

Desreferências de ponteiro NULL PKCS7 (CVE-2015-0289)

O código de análise PKCS # 7 não manipula o ContentInfo externo ausente corretamente. Um invasor pode criar blobs PKCS # 7 codificados por ASN.1 malformados com conteúdo ausente e acionar uma desreferência de ponteiro NULL na análise.
Os aplicativos que verificam assinaturas do PKCS # 7, descriptografam dados do PKCS # 7 ou analisam as estruturas do PKCS # 7 de fontes não confiáveis são afetadas. Clientes e servidores OpenSSL não são afetados.

Decodificação Base64 (CVE-2015-0292)

Havia uma vulnerabilidade nas versões anteriores do OpenSSL relacionadas ao processamento de dados codificados em base64. Qualquer caminho de código que leia dados base64 de uma fonte não confiável pode ser afetado (como as rotinas de processamento do PEM).
Os dados da base 64 mal intencionados podem desencadear uma falha de segmentação ou corrupção de memória. Isso foi resolvido nas versões anteriores do OpenSSL, mas não foi incluído em nenhum aviso de segurança até agora.

DoS via declaração alcançável em servidores SSLv2 (CVE-2015-0293)

Um cliente mal-intencionado pode acionar um OPENSSL_assert (ou seja, um cancelamento) em servidores que suportam SSLv2 e habilitam conjuntos de criptografia de exportação enviando uma mensagem SSLv2 CLIENT-MASTER-KEY especialmente criada

CKE vazio com autenticação de cliente e DHE (CVE-2015-1787)

Se a autenticação do cliente for usada, um servidor poderá sofrer uma falha no caso de um ciphersuite do DHE ser selecionado e uma mensagem ClientKeyExchange de comprimento zero ser enviada pelo cliente. Isso pode ser explorado em um ataque de negação de serviço.

Aperto de mão com PRNG sem semente (CVE-2015-0285)

Sob certas condições, um cliente OpenSSL 1.0.2 pode concluir um handshake com um PRNG sem semente. As condições são:

O cliente está em uma plataforma em que o PRNG não foi propagado automaticamente e o usuário não foi propagado manualmente

Foi utilizada uma versão do método do cliente específica do protocolo (ou seja, não SSL_client_methodv23)

É usado um ciphersuite que não requer dados aleatórios adicionais do PRNG além do aleatório inicial do cliente ClientHello (por exemplo, PSK-RC4-SHA).

Se o handshake for bem-sucedido, o cliente aleatório usado será gerado a partir de um PRNG com entropia insuficiente e, portanto, a saída poderá ser previsível.

Use After Free após o erro d2i_ECPrivatekey (CVE-2015-0209)

Um arquivo de chave privada EC malformado consumido por meio da função d2i_ECPrivateKey pode causar um uso após a condição livre. Isso, por sua vez, pode causar uma liberação dupla em várias funções de análise de chave privada (como d2i_PrivateKey ou EVP_PKCS82PKEY) e pode levar a um ataque de DoS ou corrupção de memória para aplicativos que recebem chaves privadas EC de fontes não confiáveis. Este cenário é considerado raro.

X509_to_X509_REQ NULL pointer deref (CVE-2015-0288)

A função X509_to_X509_REQ falhará com uma desreferência de ponteiro NULL se a chave do certificado for inválida. Esta função raramente é usada na prática.

Pontuação de gravidade

As tabelas abaixo indicam a pontuação de vulnerabilidade do CVSS 2.0 das vulnerabilidades de varios.

OpenSSL 1.0.2 ClientHello significa DoS (CVE-2015-0291)

Pontuação Base CVSS: 5.0