OpenSSL 3.0.0 < 3.0.15 漏洞

critical Nessus 插件 ID 201085

语言：

简介

远程服务受到漏洞影响。

描述

远程主机上安装的 OpenSSL 版本低于 3.0.15。因此，该应用程序受到 3.0.15 公告中提及的一个漏洞影响。

- 问题摘要：使用空的受支持客户端协议缓冲区调用 OpenSSL API 函数 SSL_select_next_proto 可能会造成崩溃或将内存内容发送至对等机。影响摘要：缓冲区越界读取可造成一系列潜在后果，例如预期之外的应用程序行为或崩溃。
具体来说，该问题可能导致系统将最多 255 字节的任意私有数据从内存发送到对等机，从而导致机密性丧失。但是，只有直接调用 SSL_select_next_proto 函数且支持的客户端协议长度为 0 的应用程序才会受到此问题的影响。这并非是寻常情况，并且这种情况通常不受攻击者控制，但如果在调用应用程序的过程中出现配置或编程错误，则可能会意外发生。OpenSSL API 函数 SSL_select_next_proto 通常由支持 ALPN（应用程序层协议协商）或 NPN（下一代协议协商）的 TLS 应用程序使用。NPN 版本较低，不符合标准，已弃用，改用 ALPN。我们认为，ALPN 的部署范围明显比 NPN 更广泛。SSL_select_next_proto 函数支持来自服务器的协议列表和来自客户端的协议列表，并返回出现在服务器列表中，也出现在客户端列表中的第一个协议。如果两个列表之间没有重合部分，它将返回客户端列表中的第一个项目。无论哪种情况，它都会发出信号表明是否发现两个列表之间有重合部分。在使用零长度客户端列表调用 SSL_select_next_proto 的情况下，它无法注意到这种情况并会返回客户端列表指针后立即出现的内存（并报告列表中没有重合部分）。此函数通常由 ALPN 的服务器端应用程序回调或 NPN 的客户端应用程序回调调用。对于 ALPN，libssl 保证客户端提供的协议列表的长度永远不会为零。服务器协议列表来自应用程序，通常情况下，应至少包含一项。在这种情况下，如果已按预期调用 SSL_select_next_proto 函数（使用客户端提供的列表在 client/client_len 参数中传递），则应用程序将不会受到此问题的影响。如果应用程序意外地获配了零长度服务器列表，并且意外地在客户端/客户端长度参数中传递了该零长度服务器列表，并且未能正确处理无重叠响应（这通常会导致 ALPN 中的握手失败），那么该应用程序将容易受到此问题的影响。对于 NPN 来说，该协议允许客户端在没有重叠的时候择机选择一个协议。在遵循这一点的情况下，OpenSSL 会在无重叠的情况下返回第一个客户端协议。客户端协议列表来自应用程序，通常情况下，应至少包含一项。但是，如果通过等于 0 的 client_len 意外调用了 SSL_select_next_proto 函数，则将返回无效的内存指针。如果应用程序使用此输出作为协议，则会失去机密性。经评定，此问题的严重性为低危，因为如果应用程序使用 NPN 而不是 ALPN，则最有可能受到攻击 - 但 NPN 并未得到广泛使用。它还需要出现应用程序配置或编程错误。最后，该问题通常不受攻击者控制，因此不太可能被主动利用。3.3、3.2、3.1 和 3.0 中的 FIPS 模块不受此问题影响。由于此问题的严重性低，我们目前不会发布新版本的 OpenSSL。后续发布的版本中将包含此修复。由 Joseph Birr-Pixton 发现。感谢 David Benjamin (Google)。补丁由 Matt Caswell 开发而来。已在 OpenSSL 1.1.1za 中修复（高级支持，影响 1.1.1 之前的版本）。(CVE-2024-5535)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。