• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Отсутствие шифрования

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
OpenSSL (3.0.0, 3.0.6)
Описание
OpenSSL поддерживает создание собственных шифров с помощью функции EVP_CIPHER_meth_new() и соответствующих вызовов функций. Данная функция не рекомендовалась к использованию в OpenSSL 3.0, а разработчиков приложений призывали использовать вместо нее новый механизм реализации собственных шифров. Версии OpenSSL с 3.0.0 по 3.0.5 некорректно обрабатывают пользовательские шифры, передаваемые функциям EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2() и EVP_CipherInit_ex2() (а также другим похожим функциям шифрования и расшифровки). Вместо непосредственного использования пользовательского шифра, функция пытается подобрать эквивалент у доступных поставщиков. Эквивалентный шифр определяется на основе NID, передаваемом EVP_CIPHER_meth_new(). Предполагается, что NID является уникальным идентификатором определенного шифра. Однако приложение может передать NID_undef в качестве идентификатора при вызове EVP_CIPHER_meth_new(). Когда NID_undef используется подобным образом, функция инициализации шифрования/расшифровки OpenSSL выбирает нулевое шифрование (NULL cipher) в качестве эквивалента у одного из доступных поставщиков. Подобное происходит, когда загружен поставщик по умолчанию (или сторонний поставщик, который предоставляет подобный шифр). Использование нулевого шифрования означает, что данные будут передаваться незашифрованными под видом зашифрованных. Уязвимость актуальна только для приложений, вызывающих EVP_CIPHER_meth_new() с NID_undef. Приложения, использующие только SSL/TLS, не подвержены данной уязвимости.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
Ссылки
Источник: CVE
Наименование: CVE-2022-3358
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3358