Le service d'assistance à long terme fournit une mise à jour d'OpenSSL pour résoudre le problème CVE-2021-23841.
Une faille dans le mode de fonctionnement de la fonction X509_issuer_and_serial_hash() de l'API OpenSSL a été divulguée. Elle peut conduire les applications qui l'utilisent à se planter, provoquant un déni de service (DoS) potentiel pour leurs utilisateurs.
La faille réside dans la façon dont un hachage est calculé à partir des données de l'émetteur et du numéro de série d'un certificat X509, ce qui peut faire échouer OpenSSL qui renvoie une valeur NULL. Cela peut provoquer un crash de l'application qui appelle la fonction.
L'exploitation provient d'un certificat X509 créé de manière malveillante et contenant des champs Issuer et Serial Number spécialement conçus pour déclencher ce comportement.
Notez qu'OpenSSL lui-même n'appelle jamais cette fonction, seules les applications tierces qui l'utilisent sont à risque.
Vous pouvez trouver la soumission CVE ici :
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23841
Il affecte plusieurs applications comme Tenable.sc 5.13.0 à 5.17.0, NetApp 5, et d'autres.
Les versions concernées sont OpenSSL 1.1.1i et suivantes. Si vous utilisez une version comprise entre 1.1.1 et 1.1.1i, vous devez passer à la version 1.1.1j.
OpenSSL 1.0.2 n'est plus pris en charge par l'équipe OpenSSL, mais notre équipe Extended Lifecycle Support a préparé la version OpenSSL 1.0.2 mise à jour pour le déploiement pour nos utilisateurs, donc si vous comptez sur cette version pour votre application, elle sera en sécurité.
Le service Extended Lifecycle Support permet d'atténuer l'urgence de mettre à niveau les serveurs ou de les laisser vulnérables à de futurs exploits. Le service permet d'exécuter le système d'exploitation retiré sur n'importe quel serveur pendant 4 années supplémentaires après la date de fin de vie. En utilisant un système de support étendu de fin de vie, les administrateurs peuvent protéger les serveurs critiques des vulnérabilités potentielles tout en créant un plan de migration pour les futures mises à niveau.
CloudLinux offre des mises à jour continues et une prise en charge des distributions Linux en fin de vie, telles que CentOS 6, Oracle Linux 6 et Ubuntu 16.04 LTS. Il n'est pas nécessaire de modifier vos serveurs - une simple commande unique pour ajouter un nouveau fichier de dépôt suffit. Une fois le référentiel ajouté, CloudLinux continue de fournir des mises à jour et des correctifs de sécurité jusqu'en juin 2024. En savoir plus sur le service Extended Lifecycle Support sur https://elsportal.com/.