Plusieurs vulnérabilités OpenSSL dans les produits OneSpan

Avis ID vasco-sa-20150413-openssl

Numéro de révision 1.0

Date de sortie Septembre 03, 2015 10:53 AM UTC

Dernière mise à jour Septembre 03, 2015 10:53 AM UTC 1

Résumé

Le 19 mars 2015, le projet OpenSSL a publié un avis de sécurité décrivant quatorze vulnérabilités dans la bibliothèque OpenSSL. Les vulnérabilités sont désignées comme suit :

OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)

Reclassifié: RSA rétrograde silencieusement à EXPORT_RSA [Client] (CVE-2015-0204)

Pointeur corrompu multibloc (CVE-2015-0290)

Défaut de segmentation en DTLSv1_listen (CVE-2015-0207)

Défaut de segmentation en ASN1_TYPE_cmp (CVE-2015-0286)

Segmentation pour les paramètres PSS invalides (CVE-2015-0208)

ANS.1 structure réutiliser la corruption memort (CVE-2015-0287)

PKCS7 NULL pointeur deréférences (CVE-2015-0289)

Décodage De base64 (CVE-2015-0292)

DoS via reachable assert dans les serveurs SSLv2 (CVE-2015-0293)

CKE vide avec client auth et DHE (CVE-2015-1787)

Poignée de main avec PRNG non ensedu (CVE_2015-0285)

Utilisation après libre suite à d2i_ECPrivatekey erreur (CVE-2015-0209)

X509_to_X509_REQ pointeur DEref NULL (CVE-2015-0288)

Plusieurs produits OneSpan intègrent une version de la bibliothèque OpenSSL affectée par une ou plusieurs vulnérabilités qui pourraient permettre à un attaquant distant non authentifié d'effectuer une attaque man-in-the-middle, d'injecter des données de session SSL/TLS ou de perturber la disponibilité d'un service.

Produits touchés

Les produits suivants sont affectés par une ou plusieurs des vulnérabilités mentionnées ci-dessus :

IDENTIKEY Fédération Serveur 1.4, 1.5

IDENTIKEY Authentication Server 3.4 SR1, 3.5, 3.6

Toutes les versions prises en charge de l'appareil IDENTIKEY (Virtual)

aXsGUARD Gatekeeper 7.7.x, 8.0.0, 8.1.0

Produits touchés

Description

Les descriptions de vulnérabilité suivantes sont extraites de l'avis de sécurité OpenSSL

OpenSSL 1.0.2 ClientHello sigals DoS (CVE-2015-0291)

Si un client se connecte à un serveur OpenSSL 1.0.2 et renégocie avec une extension d'algorithmes de signature non valide, un déréférencement du pointeur NULL se produira. Cela peut être exploité dans une attaque Dos contre le serveur

Reclassifié: RSA rétrograde silencieusement à EXPORT_RSA [Client] (CVE-2015-0204)

Ce problème de sécurité a déjà été annoncé par le projet OpenSSL et classé comme « faible » sévérité. Cette cote de sévérité est maintenant passée à « élevée ».

Cela a été classé bas parce qu'il a été initialement pensé que le serveur RSA export ciphersuite support était rare: un client n'était vulnérable à une attaque MITM contre un serveur qui prend en charge un chiffrement d'exportation RSA. Des études récentes ont montré que le soutien des chiffres d'exportation RSA est beaucoup plus fréquent.

Pointeur corrompu multibloc (CVE-2015-0290)

OpenSSL 1.0.2 a introduit l'amélioration des performances « multibloc ». Cette fonctionnalité ne s'applique qu'aux plates-formes d'architecture 64 bits x86 qui prennent en charge les instructions AES NI. Un défaut dans l'implémentation de "multibloc" peut faire en sorte que le tampon d'écriture interne d'OpenSSL devienne mal réglé sur NULL lors de l'utilisation d'IO non bloquant. En règle générale, lorsque l'application utilisateur utilise une prise BIO pour l'écriture, cela n'entraînera qu'une connexion défaillante. Toutefois, si un autre BIO est utilisé, il est probable qu'un défaut de segmentation sera déclenché, permettant ainsi une attaque DoS potentielle.

Défaut de segmentation en DTLSv1_listen (CVE-2015-0207)

La fonction DTLSv1_listen est destinée à être apatride et traite le ClientHello initial de nombreux pairs. Il est courant que le code utilisateur boucle l'appel à DTLSv1_listen jusqu'à ce qu'un ClientHello valide soit reçu avec un cookie associé. Un défaut dans la mise en œuvre de DTLSv1_listen signifie que l'état est préservé dans l'objet SSL d'une invocation à l'autre qui peut conduire à une faille de segmentation. Les erreurs de traitement du ClientHello initial peuvent déclencher ce scénario. Un exemple d'une telle erreur pourrait être qu'un client DTLS1.0 seul tente de se connecter à un serveur DTLS1.2 seulement.

Défaut de segmentation en ASN1_TYPE_cmp (CVE-2015-0286)

La fonction ASN1_TYPE_cmp va planter avec une lecture invalide si une tentative est faite pour comparer les types de boolean ASN.1. Étant donné ASN1_TYPE_cmp est utilisé pour vérifier la cohérence de l'algorithme de signature de certificat cela peut être utilisé pour planter toute opération de vérification de certificat et exploité dans une attaque DoS. Toute application qui effectue la vérification de certificat est vulnérable, y compris les clients OpenSSL et les serveurs qui permettent l'authentification du client.

Défaut de segmentation des paramètres PSS invalides (CVE-2015-0208)

Les routines de vérification de signature s'écraseront avec un déréférencement de pointeur NULL s'ils sont présentés avec une signature ASN.1 à l'aide de l'algorithme RSA PSS et des paramètres non valides. Étant donné que ces routines sont utilisées pour vérifier les algorithmes de signature de certificat, cela peut être utilisé pour planter toute opération de vérification de certificat et exploité dans une attaque DoS. Toute application qui effectue la vérification de certificat est vulnérable, y compris les clients OpenSSL et les serveurs qui permettent l'authentification du client.

ASN.1 structure reuse mémoire corruption (CVE-2015-0287)

La réutilisation d'une structure dans l'analyse ASN.1 peut permettre à un attaquant de causer la corruption de mémoire par l'intermédiaire d'une écriture invalide. Une telle réutilisation est et a été fortement déconseillée et est considérée comme rare.
Les applications qui séduise ntilront les structures contenant des composants CHOICE ou ANY DEFINED BY peuvent être affectées. L'éminence de certificat (d2i_X509 et fonctions connexes) ne sont toutefois pas affectées. Les clients et serveurs OpenSSL ne sont pas affectés.

PKCS7 NULL pointeur deréférences (CVE-2015-0289)

Le code d'analyse PKCS 7 ne gère pas correctement contentInfo externe manquant. Un attaquant peut fabriquer des blobs PKCS7 mal formés avec du contenu manquant et déclencher un déréférencement du pointeur NULL sur l'analyse.
Les applications qui vérifient les signatures PKCS7, décryptent les données PKCS 7 ou analysent autrement les structures PKCS7 à partir de sources non fiables. Les clients et serveurs OpenSSL ne sont pas affectés.

Décodage De base64 (CVE-2015-0292)

Une vulnérabilité existait dans les versions précédentes d'OpenSSL liées au traitement des données codées de base64. Toute trajectoire de code qui lit les données de base64 à partir d'une source non fiable pourrait être affectée (comme les routines de traitement DU PEM).
Des données de base 64 malconçues pourraient déclencher une faille de segmentation ou une corruption de mémoire. Cela a été abordé dans les versions précédentes de OpenSSL, mais n'a pas été inclus dans aucun avis de sécurité jusqu'à présent.

DoS via reachable assert dans les serveurs SSLv2 (CVE-2015-0293)

Un client malveillant peut déclencher une OPENSSL_assert (c'est-à-dire un avortement) dans les serveurs qui prennent en charge SSLv2 et permettent des suites de chiffrement d'exportation en envoyant un message SSLv2 CLIENT-MASTER-KEY spécialement conçu

CKE vide avec client auth et DHE (CVE-2015-1787)

Si le client auth est utilisé, un serveur peut seg défaut dans le cas d'un chiffrement DHE étant sélectionné et un message ClientKeyExchange zéro longueur envoyé par le client. Cela pourrait être exploité dans une attaque DoS.

Poignée de main avec PRNG non ensedu (CVE-2015-0285)

Dans certaines conditions, un client OpenSSL 1.0.2 peut effectuer une poignée de main avec un PRNG non enseturé. Les conditions sont les :

Le client est sur une plate-forme où le PRNG n'a pas été enseduis automatiquement, et l'utilisateur n'a pas enseve manuellement

Une version de la méthode client spécifique au protocole a été utilisée (c'est-à-SSL_client_methodv23)

Un chiffrement est utilisé qui ne nécessite pas de données aléatoires supplémentaires du PRNG au-delà du client client initialHello aléatoire (par exemple. PSK-RC4-SHA).

Si la poignée de main réussit, le client au hasard qui a été utilisé aura été généré à partir d'un PRNG avec une entropie insuffisante et donc la sortie peut être prévisible.

Utilisation après libre suite à d2i_ECPrivatekey erreur (CVE-2015-0209)

Un fichier clé privé EC mal formé consommé via la fonction d2i_ECPrivateKey pourrait provoquer une utilisation après l'état libre. Cela, à son tour, pourrait provoquer un double libre dans plusieurs fonctions d'anésie clé privée (comme d2i_PrivateKey ou EVP_PKCS82PKEY) et pourrait conduire à une attaque DoS ou la corruption de la mémoire pour les applications qui reçoivent des clés privées Ce de sources non fiables. Ce scénario est considéré comme rare.

X509_to_X509_REQ pointeur DEref NULL (CVE-2015-0288)

La fonction X509_to_X509_REQ se bloque avec un pointeur NULL dereference si la clé du certificat est invalide. Cette fonction est rarement utilisée dans la pratique.

Score de gravité

Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0 des vulnérabilités varios.

OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)

Score de base CVSS: 5.0