OpenSSL 1.1.1 <1.1.1d Многочисленные уязвимости, вызывающие сбой сканирования PCI?

Question

У нас есть OpenSSL 1.1.1d , установленный на windows сервере, 64-разрядная версия работает Apache 2,4. *. Все работало нормально до недавнего времени (январь 2020 г.), когда наше ежедневное сканирование PCI завершилось неудачно со следующим кратким обзором: Удаленная служба подвержена множественным уязвимостям. Очевидно, что для меня естественным было перейти на самую последнюю версию OpenSSL, и когда я проверил https://www.openssl.org/, я обнаружил, что 1.1.1d - самая последняя версия, и я до сих пор переустановил это просто для безопасности. Это ничего не изменило, Сканирование все равно не удалось.

В отчете о сканировании был длинный абзац внизу, содержащий более подробную информацию о воздействии, этот текст привлек мое внимание ...

 *"OpenSSL versions 1.1.1, 1.1.0 and 1.0.2 are affected by this issue. Due to the limited scope of affected deployments this has been assessed as low severity and therefore we are not creating new releases at this time".*

* 1014 Может ли кто-нибудь помочь мне понять, что мне нужно сделать, чтобы остановить этот сбой? Я осмотрел inte rnet, и никто не сообщает о проблеме в том же контексте, что и я. Помогите, пожалуйста!

ОБНОВЛЕНИЕ К ВОПРОСУ - ДОБАВЛЕНО ПОЛНЫЙ СПРАВОЧНЫЙ ПАРАГРАФ

Воздействие Версия протестированного продукта, установленного на удаленном хосте, предшествует проверенная версия. Поэтому на него влияют следующие уязвимости: - Обычно в группах OpenSSL E C всегда присутствует кофактор, и он используется в кодовых трактах, устойчивых к побочным каналам. Однако в некоторых случаях можно создать группу, используя явные параметры (вместо использования именованной кривой). В этих случаях возможно, что в такой группе отсутствует кофактор. Это может произойти, даже если все параметры соответствуют известной именованной кривой. Если такая кривая используется, то OpenSSL возвращается к сторонним кодовым каналам, устойчивым к каналу, что может привести к полному восстановлению ключа во время операции подписи ECDSA. Чтобы быть уязвимым, злоумышленник должен иметь возможность рассчитать время для создания большого количества сигнатур, когда явные параметры без сопутствующего фактора используются приложением, использующим libcrypto. Во избежание сомнений libssl не уязвим, потому что явные параметры никогда не используются. OpenSSL версии 1.1.1, 1.1.0 и 1.0.2 подвержены этой проблеме. (CVE-2019-1547) - OpenSSL 1.1.1 представил переписанный генератор случайных чисел (RNG). Предполагалось включить защиту в случае системного вызова fork (), чтобы гарантировать, что родительский и дочерний процессы не разделяют одно и то же состояние RNG. Однако эта защита не использовалась в случае по умолчанию. Частичное смягчение этой проблемы заключается в том, что выходные данные высокоточного таймера смешиваются в состояние RNG, поэтому вероятность совместного использования родительского и дочернего процессов значительно снижается. Если приложение уже вызывает OPENSSL_init_crypto () явно, используя OPENSSL_INIT_ATFORK, то эта проблема вообще не возникает. OpenSSL версии 1.1.1 подвержен этой проблеме. (CVE-2019-1549) - OpenSSL имеет внутренние значения по умолчанию для дерева каталогов, где он может найти файл конфигурации, а также сертификаты, используемые для проверки в TLS. Этот каталог чаще всего называют OPENSSLDIR, и его можно настроить с помощью параметров конфигурации --prefix / --openssldir. Для версий OpenSSL 1.1.0 и 1.1.1 цели конфигурации mingw предполагают, что результирующие программы и библиотеки установлены в Unix -подобной среде, а префикс по умолчанию для установки программы, а также для OPENSSLDIR должен быть '/ usr / local ». Тем не менее, программы mingw являются Windows программами, и, таким образом, они обнаруживают подкаталоги 'C: / usr / local', которые могут быть доступны для записи всем пользователям, что позволяет ненадежным пользователям изменять конфигурацию OpenSSL по умолчанию, вставьте Сертификаты CA, модифицировать (или даже заменить) существующие модули двигателя и т. Д. c. Для OpenSSL 1.0.2 по умолчанию используется / usr / local / ssl для OPENSSLDIR для всех целей Unix и Windows, включая сборки Visual C. Однако некоторые инструкции по сборке для разнообразных целей Windows в 1.0.2 побуждают вас указывать свой собственный префикс --prefix. OpenSSL версии 1.1.1, 1.1.0 и 1.0. 2 затронуты этой проблемой. Из-за ограниченного объема затронутых развертываний это было оценено как низкая серьезность, и поэтому в настоящее время мы не создаем новые версии. (CVE-2019-1552) Обратите внимание, что SecurityMetrics не тестировал эти проблемы, а вместо этого полагался только на самооценочный номер версии приложения. Смотрите также: http://www.nessus.org/u?c46dca59 https://www.openssl.org/news/secadv/20190910.txt https://www.openssl.org/news/secadv/20190730.txt

Answer 1

Это ложное срабатывание. Вам нужно подать спор с поставщиком, показывая, что в версии 1.1.1d нет уязвимости, обнаруженной в других версиях. У всех поставщиков сканирования PCI есть процесс для оспаривания ложных срабатываний. Если они согласятся с результатами вашего спора, они уберут уязвимость из вашего отчета. Они должны решить эту проблему для вас быстро. Отправьте им https://www.openssl.org/news/secadv/20190910.txt и подтверждение имеющейся у вас версии.

Answer 2

Теперь я должен ответить на свой вопрос благодаря ответам Капи sh М и Родри go М , которые дали мне важную информацию и привели меня к правильный путь.

Как выясняется, версия OpenSSL, установленная на сервере windows, не заменяет версию OpenSSL, которая является частью комплекта Apache, установленного как часть XAMPP. Сканер уязвимостей сканирует на предмет OpenSSL, который находится внутри Apache (или, возможно, оба, но определенно apache).

OpenSSL, который я установил на сервере версии 1.1.1d , полностью отделен от того, который является частью пакета XAMPP (в моем случае 1.1.1 c). Проблема, которую я обнаружил, заключалась в том, что, несмотря на наличие самой последней версии Apache 2.2.41 , поставляемая с ней версия OpenSSL не является последней версией OpenSSL, и нет официально документированного способа обновления. только OpenSSL в пакете XAMPP. На самом деле, официальный сайт XAMPP действительно говорит, что у них еще нет 1.1.1d , готового к windows, за исключением Linux (правильный на момент ответа) https://www.apachefriends.org/blog/new_xampp_20191227.html прямо говорит OpenSSL 1.1.1d (только UNIX).

Ниже приведено, что я сделал, чтобы решить мою проблему после лучшего понимания благодаря полученным ответам. Я до сих пор не уверен, что мой подход безопасен, поскольку это не моя область знаний, но он определенно прошел мой PCI-Scan.

1. Установил последнюю версию OpenSSL на Север
2. Перейдите в расположение папки Binaries, например YourDrive: \ Program Files \ OpenSSL-Win64 \ bin
3. Скопируйте следующие файлы (кредит Edmoncuaft за этот список файлов )
   • libcrypto-1_1.dll
   • libssl-1_1.dll
   • openssl.exe
4. Перейдите к apache папка binaries
   • YourDrive: xampp \ apache \ bin

5. [ОЧЕНЬ ВАЖНО] Создание резервных копий 3 файлов, упомянутых на шаге 3 в случае необходимости возврата.

6. Остановите сервер Apache

7. Скопируйте 3 файла из YourDrive: \ Program Files \ OpenSSL -Win64 \ bin to YourDrive: xampp \ apache \ bin

8. (Re) Запустить Apache Сервер

Это шаги, которые я следовал и когда мы снова запустим сканирование PCI, оно прошло без уязвимостей!

Надеюсь, это пригодится кому-то еще.