OpenSSL 1.1.1 < 1.1.1d 多个漏洞

medium Nessus 插件 ID 128116

语言：

简介

远程服务受到多个漏洞的影响。

描述

远程主机上安装的 OpenSSL 版本低于 1.1.1d。因此，它受到公告 1.1.1d 中提及的多个漏洞影响。

- 当攻击者收到自动通知，获知解密尝试成功或失败时，可在发送大量待解密消息后，使用 Bleichenbacher padding oracle 攻击恢复 CMS/PKCS7 传输的加密密钥，或解密任何使用公开 RSA 密钥加密的 RSA 加密消息。如果应用程序将凭证与 CMS_decrypt 或 PKCS7_decrypt 函数的私密 RSA 密钥搭配使用，以选择正确的接收方信息进行解密，则应用程序不会受到影响。已在 OpenSSL 1.1.1d 中修复（影响 1.1.1-1.1.1c）。已在 OpenSSL 1.1.0l 中修复（影响 1.1.0-1.1.0k）。已在 OpenSSL 1.0.2t 中修复（影响 1.0.2-1.0.2s）。(CVE-2019-1563)

- OpenSSL 1.1.1 引入了重写的随机数生成器 (RNG)。这本应该在出现 fork() 系统调用时提供保护，以确保父进程和子进程不会共享相同的 RNG 状态。但是，默认情况下未使用此保护。此问题的部分缓解措施是将高精度定时器的输出混合到 RNG 状态中，从而显著降低父进程和子进程共享状态的可能性。如果应用程序已使用 OPENSSL_INIT_ATFORK 显式调用 OPENSSL_init_crypto()，则完全不会发生此问题。已在 OpenSSL 1.1.1d 中修复（影响 1.1.1-1.1.1c）。(CVE-2019-1549)

- 通常，OpenSSL EC 群组中总会存在余因子，用于边信道阻止代码路径中。不过，在某些情况下，可能会使用显式参数（而非使用已命名曲线）构建群组。在这些情况下，这类群组可能没有余因子存在。即使所有参数都符合已知的已命名曲线，也会发生这种情况。如果使用这类曲线，则 OpenSSL 会回退到非防边信道代码路径，这在 ECDSA 签名操作期间，可能会导致完整密钥恢复。为了易于受到影响，攻击者必须能够在使用 libcrypto 的应用程序正在使用不存在余因子的明确参数时，对大量签字创建进行计时。为避免疑义，libssl 因为从不使用明确参数而不易受到影响。已在 OpenSSL 1.1.1d 中修复（影响 1.1.1-1.1.1c）。已在 OpenSSL 1.1.0l 中修复（影响 1.1.0-1.1.0k）。已在 OpenSSL 1.0.2t 中修复（影响 1.0.2-1.0.2s）。(CVE-2019-1547)

- OpenSSL 具有针对目录树的内部预设，其可以发现配置文件和在 TLS 中用于验证的证书。该目录最常用的引用方式为 OPENSSLDIR，且可通过 --prefix / --openssldir 配置选项进行配置。对于 1.1.0 和 1.1.1 版本的 OpenSSL，mingw 配置目标假定最终程序和库都安装在类 Unix 环境中，并且程序安装和 OPENSSLDIR 的默认前缀都应当是 '/usr/local'。但 mingw 程序是 Windows 程序，因此发现其会自己寻找 'C:/usr/local' 的子目录，其可能全局可写，这会造成不受信任的用户也能够修改 OpenSSL 的默认配置、插入 CA 证书、修改（或甚至替换）现有的引擎模块等。对于 OpenSSL 1.0.2，在所有 Unix 和 Windows 目标上针对 OPENSSLDIR 默认使用 '/usr/local/ssl' ，包括 Visual C 构建。然而，一些在 1.0.2 上针对不同 Windows 目标的构建指令，建议您指定自己的 --prefix。OpenSSL 版本 1.1.1、1.1.0 和 1.0.2 受此问题影响。由于受影响部署的范围有限，此问题被评估为低严重性，因此我们目前并未创建新版本。已在 OpenSSL 1.1.1d 中修复（影响 1.1.1-1.1.1c）。
已在 OpenSSL 1.1.0l 中修复（影响 1.1.0-1.1.0k）。已在 OpenSSL 1.0.2t 中修复（影响 1.0.2-1.0.2s）。
(CVE-2019-1552)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。