概要
リモートの Amazon Linux 2 ホストにセキュリティ更新プログラムがありません。
説明
リモートホストにインストールされているopenssl11のバージョンは、1.1.1g-12より前のバージョンです。したがって、ALAS2-2021-1612 のアドバイザリに記載されている複数の脆弱性の影響を受けます。
- OpenSSL 1.0.2はSSLv2をサポートしています。クライアントが、SSLv2とさらに新しいSSLおよびTLSバージョンの両方をサポートするように構成されているサーバーとSSLv2をネゴシエートしようとする場合、RSA署名をパディング解除するとき、バージョンロールバック攻撃の有無がチェックされます。SSLまたはSSLv2より後のTLSバージョンをサポートするクライアントは、特別な形式のパディングを使用することになっています。SSLv2より後をサポートするサーバーは、この特殊な形式のパディングが存在するクライアントからの接続試行を拒否することになっています。これはバージョンロールバックが発生したことを示しているためです(つまり、クライアントとサーバーの両方がSSLv2より後をサポートしており、同時にリクエストされているバージョンである)。このパディングチェックの実装では、ロジックが逆になりました。パディングが存在する場合に、接続試行が受け入れられ、そうでない場合は拒否されるようにするためです。これは、バージョンロールバック攻撃が発生した場合に、サーバーなどが接続を受け入れることを意味します。さらに、通常のSSLv2接続試行が行われた場合、サーバーが誤って接続を拒否します。バージョン1.0.2sから 1.0.2x のOpenSSL 1.0.2 サーバーのみがこの問題の影響を受けます。1.0.2サーバーが脆弱である要件:1)コンパイル時にSSLv2サポートを構成している(これはデフォルトでオフ)、2)ランタイムにSSLv2サポートを構成している(これはデフォルトでオフ)、3)SSLv2暗号スイート(これらはデフォルトの暗号スイートリストにない)を構成している。OpenSSL 1.1.1 は SSLv2 をサポートしていないため、この問題に脆弱ではありません。潜在的なエラーは、RSA_padding_check_SSLv23()関数の実装にあります。これは、さまざまな他の関数によって使用されるRSA_SSLV23_PADDINGパディングモードにも影響します。1.1.1 は SSLv2 をサポートしていませんが、RSA_padding_check_SSLv23()関数はまだ存在しています。RSA_SSLV23_PADDINGパディングモードも同様です。その関数を直接呼び出すアプリケーション、またはそのパディングモードを使用するアプリケーションでは、この問題が発生します。
しかしながら、1.1.1にSSLv2プロトコルのサポートがないため、これはバグとみなされ、そのバージョンではセキュリティ問題ではありません。OpenSSL 1.0.2はサポートが終了しており、今後は一般の更新を受け取れません。
OpenSSL 1.0.2 のプレミアムサポートのお客様は 1.0.2y にアップグレードする必要があります。その他のユーザーは、1.1.1j にアップグレードする必要があります。
OpenSSL 1.0.2yで修正されました(Affected 1.0.2s~1.0.2xが影響を受けます)。(CVE-2021-23839)
-EVP_CipherUpdate、EVP_EncryptUpdateおよびEVP_DecryptUpdateへの呼び出しは、入力長がプラットフォーム上の整数の最大許容長さに近い場合、出力長引数をオーバーフローすることがあります。このような場合、関数呼び出しからの戻り値は 1 (成功を示す) になりますが、出力の長さの値は負になります。これにより、アプリケーションが不適切に動作したり、クラッシュしたりする可能性があります。
OpenSSL バージョン1.1.1i 以下は、この問題の影響を受けます。これらのバージョンのユーザーは、OpenSSL 1.1.1j にアップグレードする必要があります。OpenSSL バージョン 1.0.2x以下はこの問題の影響を受けます。しかしながら、OpenSSL 1.0.2はサポートが終了しており、今後は一般の更新を受け取れません。OpenSSL 1.0.2 のプレミアムサポートのお客様は 1.0.2y にアップグレードする必要があります。その他のユーザーは、1.1.1j にアップグレードする必要があります。OpenSSL 1.1.1j で修正されました (1.1.1 ~ 1.1.1i が影響を受けます)。
OpenSSL 1.0.2y で修正されました (1.0.2 ~ 1.0.2x が影響を受けます)。(CVE-2021-23840)
- OpenSSLパブリックAPI関数X509_issuer_and_serial_hash()は、X509の証明書に含まれている発行者およびシリアルナンバーデータに基づき、一意のハッシュ値の作成を試みます。ただし、発行者フィールドの解析中に発生する可能性のあるエラー (発行者フィールドが悪意を持って構築された場合に発生する可能性がある) を、適切に処理できません。その後、NULLポインターのderefとクラッシュに至り、サービス拒否攻撃を引き起こす可能性があります。X509_issuer_and_serial_hash () 関数は、OpenSSL自体によって直接呼び出されることはありません。このため、アプリケーションは、この関数を直接使用し、信頼できないソースから取得した証明書でこの関数を使用する場合にのみ脆弱です。OpenSSL バージョン 1.1.1i 以下は、この問題の影響を受けます。これらのバージョンのユーザーは、OpenSSL 1.1.1j にアップグレードする必要があります。OpenSSL バージョン 1.0.2x以下はこの問題の影響を受けます。しかしながら、OpenSSL 1.0.2はサポートが終了しており、今後は一般の更新を受け取れません。OpenSSL 1.0.2 のプレミアムサポートのお客様は 1.0.2y にアップグレードする必要があります。その他のユーザーは、1.1.1j にアップグレードする必要があります。OpenSSL 1.1.1j で修正されました (1.1.1 ~ 1.1.1i が影響を受けます)。OpenSSL 1.0.2y で修正されました (1.0.2 ~ 1.0.2x が影響を受けます)。(CVE-2021-23841)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
「yum update openssl11」を実行してシステムを更新してください。
プラグインの詳細
ファイル名: al2_ALAS-2021-1612.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:openssl11, p-cpe:/a:amazon:linux:openssl11-debuginfo, p-cpe:/a:amazon:linux:openssl11-devel, p-cpe:/a:amazon:linux:openssl11-libs, p-cpe:/a:amazon:linux:openssl11-static, cpe:/o:amazon:linux:2
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available