ClickCease Le service d'assistance à long terme fournit une mise à jour d'OpenSSL pour résoudre le problème CVE-2021-23841 - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le service d'assistance à long terme fournit une mise à jour d'OpenSSL pour résoudre le problème CVE-2021-23841.

Le 4 mars 2021 - L'équipe de relations publiques de TuxCare

ELS fournit une mise à jour d'OpenSSL pour corriger CVE-2021-23841

Une faille dans le mode de fonctionnement de la fonction X509_issuer_and_serial_hash() de l'API OpenSSL a été divulguée. Elle peut conduire les applications qui l'utilisent à se planter, provoquant un déni de service (DoS) potentiel pour leurs utilisateurs. 

 

La faille réside dans la façon dont un hachage est calculé à partir des données de l'émetteur et du numéro de série d'un certificat X509, ce qui peut faire échouer OpenSSL qui renvoie une valeur NULL. Cela peut provoquer un crash de l'application qui appelle la fonction.

L'exploitation provient d'un certificat X509 créé de manière malveillante et contenant des champs Issuer et Serial Number spécialement conçus pour déclencher ce comportement. 

Notez qu'OpenSSL lui-même n'appelle jamais cette fonction, seules les applications tierces qui l'utilisent sont à risque.

 

Vous pouvez trouver la soumission CVE ici :

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23841

 

Il affecte plusieurs applications comme Tenable.sc 5.13.0 à 5.17.0, NetApp 5, et d'autres.

 

Les versions concernées sont OpenSSL 1.1.1i et suivantes. Si vous utilisez une version comprise entre 1.1.1 et 1.1.1i, vous devez passer à la version 1.1.1j.

 

OpenSSL 1.0.2 n'est plus pris en charge par l'équipe OpenSSL, mais notre équipe Extended Lifecycle Support a préparé la version OpenSSL 1.0.2 mise à jour pour le déploiement pour nos utilisateurs, donc si vous comptez sur cette version pour votre application, elle sera en sécurité.

 

Le service Extended Lifecycle Support permet d'atténuer l'urgence de mettre à niveau les serveurs ou de les laisser vulnérables à de futurs exploits. Le service permet d'exécuter le système d'exploitation retiré sur n'importe quel serveur pendant 4 années supplémentaires après la date de fin de vie. En utilisant un système de support étendu de fin de vie, les administrateurs peuvent protéger les serveurs critiques des vulnérabilités potentielles tout en créant un plan de migration pour les futures mises à niveau. 

 

CloudLinux offre des mises à jour continues et une prise en charge des distributions Linux en fin de vie, telles que CentOS 6, Oracle Linux 6 et Ubuntu 16.04 LTS. Il n'est pas nécessaire de modifier vos serveurs - une simple commande unique pour ajouter un nouveau fichier de dépôt suffit. Une fois le référentiel ajouté, CloudLinux continue de fournir des mises à jour et des correctifs de sécurité jusqu'en juin 2024. En savoir plus sur le service Extended Lifecycle Support sur https://elsportal.com/.

 

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information