One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8340564 |
| Date de publication | 2023-05-30 14:15:09 (vue: 2023-05-30 17:07:13) |
| Titre | CVE-2023-2650 |
| Texte | Résumé du numéro: Traitement des identificateurs d'objets ASN.1 spécialement conçus ou
Les données les contenant peuvent être très lentes.
Résumé de l'impact: applications qui utilisent OBJ_OBJ2TXT () directement, ou utilisent l'un des
Les sous-systèmes OpenSSL OCSP, PKCS7 / SMIME, CMS, CMP / CRMF ou TS sans message
La limite de taille peut ressentir des retards de très longs retards lors du traitement
messages, ce qui peut conduire à un déni de service.
Un identifiant d'objet est composé d'une série de nombres - sous-identifiants -
dont la plupart n'ont aucune limite de taille.Obj_obj2txt () peut être utilisé pour traduire
un identifiant d'objet ASN.1 donné dans le formulaire de codage DER (en utilisant l'OpenSSL
tapez asn1_object) à sa forme de texte numérique canonique, qui sont les
sous-identificateurs de l'identifiant d'objet sous forme décimale, séparés par
périodes.
Lorsque l'un des sous-identifiants de l'identifiant d'objet est très grand
(Ce sont des tailles qui sont considérées comme absurdement grandes, prenant des dizaines ou des centaines
de kibs), la traduction par un nombre décimal dans le texte peut prendre très longtemps
temps.La complexité du temps est o (n ^ 2) avec \\ 'n \' étant la taille du
Sous-identifiants en octets (*).
Avec OpenSSL 3.0, support pour récupérer les algorithmes cryptographiques à l'aide de noms /
Les identifiants sous forme de chaîne ont été introduits.Cela inclut l'utilisation d'objet
Identificateurs dans la forme de texte numérique canonique comme identificateurs pour récupérer
algorithmes.
Ces identificateurs d'objets peuvent être reçus par la structure ASN.1
Algorithmidentifier, qui est couramment utilisé dans plusieurs protocoles pour spécifier
Quel algorithme cryptographique doit être utilisé pour signer ou vérifier, crypter ou
décrypter ou digérer les données transmises.
Les applications qui appellent obj_obj2txt () directement avec des données non fiables sont
affecté, avec toute version d'OpenSSL.Si l'utilisation est dans le simple but
d'affichage, la gravité est considérée comme faible.
Dans OpenSSL 3.0 et plus récent, cela affecte les sous-systèmes OCSP, PKCS7 / SMIME,
CMS, CMP / CRMF ou TS.Cela affecte également tout ce qui traite x.509
certificats, y compris des choses simples comme la vérification de sa signature.
L'impact sur TLS est relativement faible, car toutes les versions d'OpenSSL ont un
100 KIB Limite à la chaîne de certificat de Peer \\.De plus, ce seul
a un impact sur les clients ou les serveurs qui ont explicitement activé le client
authentification.
Dans OpenSSL 1.1.1 et 1.0.2, cela n'affecte que l'affichage de divers objets,
tels que les certificats X.509.Cela est supposé ne pas se produire de telle manière
que cela entraînerait un déni de service, donc ces versions sont considérées
non affecté par cette question de telle manière que ce serait une préoccupation,
et la gravité est donc considérée comme faible.
Issue summary: Processing some specially crafted ASN.1 object identifiers or data containing them may be very slow. Impact summary: Applications that use OBJ_obj2txt() directly, or use any of the OpenSSL subsystems OCSP, PKCS7/SMIME, CMS, CMP/CRMF or TS with no message size limit may experience notable to very long delays when processing those messages, which may lead to a Denial of Service. An OBJECT IDENTIFIER is composed of a series of numbers - sub-identifiers - most of which have no size limit. OBJ_obj2txt() may be used to translate an ASN.1 OBJECT IDENTIFIER given in DER encoding form (using the OpenSSL type ASN1_OBJECT) to its canonical numeric text form, which are the sub-identifiers of the OBJECT IDENTIFIER in decimal form, separated by periods. When one of the sub-identifiers in the OBJECT IDENTIFIER is very large (these are sizes that are seen as absurdly large, taking up tens or hundreds of KiBs), the translation to a decimal number in text may take a very long time. The time complexity is O(n^2) with \'n\' being the size |
| Notes | |
| Envoyé | Oui |
| Condensat | 100kib 2023 2650 509 absurdly additionally affected affects algorithm algorithmidentifier algorithms all also any anything applications are asn asn1 assumed authentication because being bytes call canonical cause certificate certificates chain client clients cmp/crmf cms commonly complexity composed concern considered containing crafted cryptographic cve data decimal decrypt delays denial der digest directly display displaying diverse enabled encoding encrypt experience explicitly fetch fetching form given happen have hundreds identifier identifiers impact impacts includes including introduced issue its kibs large lead like limit long low may mere message messages most multiple n^2 names newer not notable number numbers numeric obj obj2txt object objects ocsp one only openssl passed peer periods pkcs7/smime processes processing protocols purpose received relatively seen separated series servers service severity should sign signature simple size sizes slow some specially specify string structure sub subsystems such summary: support take taking tens text them therefore these things those through time tls translate translation type untrusted use used using verify verifying version versions very way what when which would |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.