idNSA.id - Proyek OpenSSL merilis pembaruan keamanan untuk OpenSSL yang menambal kerentanan tingkat keparahan tinggi, dilacak sebagai CVE-2020-1967, yang dapat dimanfaatkan oleh penyerang untuk meluncurkan serangan denial-of-service (DoS). Ini adalah masalah pertama yang dibahas dalam OpenSSL pada tahun 2020.
Kerentanan CVE-2020-1967 telah dideskripsikan sebagai “kesalahan segmentasi” dalam fungsi SSL_check_chain .
"Server atau aplikasi klien yang memanggil fungsi SSL_check_chain () selama atau setelah jabat tangan TLS 1.3 dapat macet karena dereferensi penunjuk NULL sebagai akibat dari penanganan yang salah dari ekstensi TLS 'signature_algorithms_cert'," membaca penasehat yang diterbitkan oleh Proyek OpenSSL .
“Kecelakaan terjadi jika algoritma tanda tangan yang tidak valid atau tidak dikenal diterima dari rekan. Ini bisa dieksploitasi oleh rekan jahat dalam serangan Denial of Service. "
Kerentanan mempengaruhi versi OpenSSL 1.1.1d, 1.1.1e dan 1.1.1f, dan telah ditambal dengan rilis versi 1.1.1g.
Organisasi menunjukkan bahwa versi yang lebih lama 1.0.2 dan 1.1.0 tidak terpengaruh oleh kerentanan.
Kerentanan ini ditemukan oleh Bernd Edlinger dan dilaporkan ke OpenSSL pada tanggal 7 April 2020, para peneliti menemukan masalah dengan menggunakan pass analisis statis baru yang diimplementasikan dalam penganalisis kode statis GNU Compiler Collection (GCC) . Duo keamanan Matt Caswell dan Benjamin Kaduk melakukan analisis tambahan.
"Masalah ini tidak memengaruhi OpenSSL 1.0.2 namun versi ini tidak mendukung dan tidak lagi menerima pembaruan publik." melanjutkan penasehat. "Dukungan tambahan tersedia untuk pelanggan dukungan premium:
https://www.openssl.org/support/contracts.html
“Masalah ini tidak memengaruhi OpenSSL 1.1.0 namun versi ini tidak mendukung dan tidak lagi menerima pembaruan. Pengguna versi ini harus meningkatkan ke OpenSSL 1.1.1. "
source: security affairs
