ASA-2019-00118 – OpenSSL: ChaCha20-Poly1305 com nonces longo

Se um aplicativo encontrar um erro de protocolo fatal e chamar SSL_shutdown() duas vezes (uma vez para enviar um close_notify e uma vez para receber uma), o OpenSSL poderá responder diferentemente ao aplicativo de chamada se um registro de 0 byte for recebido com padding inválido comparado a se um registro de 0 byte é recebido com um MAC inválido. Se o aplicativo se comportar de maneira diferente com base nisso de uma maneira que seja detectável para o peer remoto, isso equivale a um padding oracle que pode ser usado para descriptografar dados. Para que isso possa ser explorável, os ciphersuites "non-stitched" devem estar em uso. As ciphersuites non-stitched são implementações otimizadas de certos ciphersuites comumente usados. Além disso, o aplicativo deve chamar SSL_shutdown() duas vezes, mesmo que um erro de protocolo tenha ocorrido (os aplicativos não devem fazer isso, mas alguns o fazem de qualquer maneira). Ciphersuites AEAD não são afetados.

ASA-2019-00114 – OpenSSL: Padding oracle em registro de 0-byte

Se um aplicativo encontrar um erro de protocolo fatal e chamar SSL_shutdown() duas vezes (uma vez para enviar um close_notify e uma vez para receber uma), o OpenSSL poderá responder diferentemente ao aplicativo de chamada se um registro de 0 byte for recebido com padding inválido comparado a se um registro de 0 byte é recebido com um MAC inválido. Se o aplicativo se comportar de maneira diferente com base nisso de uma maneira que seja detectável para o peer remoto, isso equivale a um padding oracle que pode ser usado para descriptografar dados. Para que isso possa ser explorável, os ciphersuites "non-stitched" devem estar em uso. As ciphersuites non-stitched são implementações otimizadas de certos ciphersuites comumente usados. Além disso, o aplicativo deve chamar SSL_shutdown() duas vezes, mesmo que um erro de protocolo tenha ocorrido (os aplicativos não devem fazer isso, mas alguns o fazem de qualquer maneira). Ciphersuites AEAD não são afetados.

ASA-2019-00028 – Apache: mod_ssl 2.4.37 DoS remoto quando usado com o OpenSSL 1.1.1

Existe um bug na forma como o mod_ssl lidava com renegociações de clientes. Um atacante remoto pode enviar uma solicitação cuidadosamente criada que faria com que o mod_ssl insira um loop que leva a uma negação de serviço. Esse bug pode ser acionado apenas com o Apache HTTP Server versão 2.4.37 ao usar o OpenSSL versão 1.1.1 ou posterior, devido a uma interação nas mudanças no tratamento de tentativas de renegociação.

ASA-2018-00042 – OpenSSL: Vulnerabilidade de canal lateral da microarquitetura na multiplicação escalar da implementação de curvas elípticas ECC

Multiplicação escalar no OpenSSL ECC, usada como exemplo no ECDSA e ECDH, tem se mostrado estar vulnerável a ataques de canal lateral da microarquitetura. Um atacante com acesso suficiente para montar ataques temporais locais pode recuperar a chave privada durante a geração da assinatura ECDSA.

ASA-2018-00016 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.