漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

  • A+
所属分类:安全漏洞
漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
背景
漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

OpenSSL是一个知名的开源安全套接字层密码库。全球成千上万的web服务器的网站加密技术使用OpenSSL。

网银、在线支付、电商网站、门户网站、电子邮件等互联网应用广泛使用OpenSSL实现数据的安全传输和安全存储。


历史上,OpenSSL多次出现安全漏洞。


2014年,OpenSSL爆出Heartbleed(心脏滴血)漏洞,网络出现了“致命内伤”。

心脏滴血称为互联网安全历史上最严重的漏洞之一,当时全球三分之二的网站可被该漏洞攻击。


心脏滴血漏洞的CVE编号是CVE-2014-0160,CVSS3.1打分7.5,属于严重漏洞。


业界使用CVE ID作为漏洞编号。CVE是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写。

业界采用CVSS量化漏洞影响。CVSS是通用漏洞评分系统(Common Vulnerability Scoring System)的英文缩写。

CVSS得分最大为10,最小为0。得分7~10的漏洞通常认为严重,得分在4~6.9之间是中级漏洞,0~3.9是低级漏洞。

2021年8月24日,OpenSSL发布了OpenSSL 1.1.1l,该版本修复了一个高危漏洞:CVE-2021-3711。


根据

https://access.redhat.com/security/cve/cve-2021-3711

该漏洞的CVSS3.1打分8.1,属于严重漏洞。


该漏洞影响OpenSSL 1.1.1l之前的所有包含SM2商密算法版本。业界一些基于OpenSSL改造过的商用国密算法版本也可能受该漏洞影响。


本文结合OpenSSL公告、修复前后的OpenSSL代码和触发漏洞的sm2密文数据,分析CVE-2021-3711漏洞原理,并评估对腾讯自研国密算法库的影响。


漏洞分析

根据官网披露的信息细节https://www.openssl.org/news/secadv/20210824.txt

得出如下分析:


漏洞原因:SM2解密时分配了一块内存,解密后的结果可能大于该分配内存的容量,造成内存越界写。


以下是具体分析,使用CVE-2021-3711漏洞修复之前的OpenSSL 1.1.1代码。


1、OpenSSL EVP解密操作

OpenSSL EVP将常用的密码算法进行了封装,提供统一的密码学各种函数。


看示例图找规律,OpenSSL对密文的解密是什么样的操作?


示例1:crypto/evp/p_open.c


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711


示例2:crypto/crmf/crmf_lib.c


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711


示例3:crypto/cms/cms_env.c


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711


示例4:crypto/pkcs7/pk7_doit.c


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

实际应用中密文的解密一般需要调用两次EVP_PKEY_decrypt。


第一次调用EVP_PKEY_decrypt,指针out为NULL,返回长度keylen。


通过OPENSSL_malloc分配一块keylen大小的堆内存。


第二次调用EVP_PKEY_decrypt,指针out为第一次调用所分配的内存,运算结束后存放解密结果。


2、EVP_PKEY_decrypt实现


在初始化EVP_PKEY_CTX结构后,通过EVP_PKEY_decrypt可以调用到具体的密码算法执行解密运算。


int EVP_PKEY_decrypt(EVP_PKEY_CTX *ctx,                     unsigned char *out, size_t *outlen,                     const unsigned char *in, size_t inlen){    int ret;
...
if (ctx->op.ciph.algctx == NULL) goto legacy;
ret = ctx->op.ciph.cipher->decrypt(ctx->op.ciph.algctx, out, outlen, (out == NULL ? 0 : *outlen), in, inlen); return ret;
legacy:
...
}

3、pkey_sm2_decrypt实现


对于SM2解密,EVP_PKEY_decrypt中的ctx->op.ciph.cipher->decrypt对应的是pkey_sm2_decrypt。


pkey_sm2_decrypt函数位于crypto/sm2/sm2_pmeth.c。

static int pkey_sm2_decrypt(EVP_PKEY_CTX *ctx,                            unsigned char *out, size_t *outlen,                            const unsigned char *in, size_t inlen){    EC_KEY *ec = ctx->pkey->pkey.ec;    SM2_PKEY_CTX *dctx = ctx->data;    const EVP_MD *md = (dctx->md == NULL) ? EVP_sm3() : dctx->md;
if (out == NULL) { if (!sm2_plaintext_size(ec, md, inlen, outlen)) return -1; else return 1; }
return sm2_decrypt(ec, md, in, inlen, out, outlen);}


根据第一节OpenSSL EVP解密操作可知,第一次调用EVP_PKEY_decrypt函数时,指针out为NULL,返回长度作为接下来分配堆内存的大小。


这里sm2_plaintext_size函数返回outlen,作为接下来分配堆内存的大小。


4、sm2_plaintext_size实现


sm2_plaintext_size函数位于crypto/sm2/sm2_crypt.c


int sm2_plaintext_size(const EC_KEY *key, const EVP_MD *digest, size_t msg_len,                       size_t *pt_size){    const size_t field_size = ec_field_size(EC_KEY_get0_group(key));    const int md_size = EVP_MD_size(digest);    size_t overhead;
if (md_size < 0) { SM2err(SM2_F_SM2_PLAINTEXT_SIZE, SM2_R_INVALID_DIGEST); return 0; } if (field_size == 0) { SM2err(SM2_F_SM2_PLAINTEXT_SIZE, SM2_R_INVALID_FIELD); return 0; }
overhead = 10 + 2 * field_size + (size_t)md_size; if (msg_len <= overhead) { SM2err(SM2_F_SM2_PLAINTEXT_SIZE, SM2_R_INVALID_ENCODING); return 0; }
*pt_size = msg_len - overhead; return 1;}

注意:返回的长度等于msg_len - overhead,而overhead = 10 + 2 * field_size+(size_t)md_size。


5、overhead存在的问题


sm2国密算法知识


关于overhead的设置,涉及SM2算法和SM2密文格式的知识,在此进行补充。

  1. SM2(SM是“商密”拼音的缩写)是我国商用密码的公钥密码标准,标准号为:GM/T 0003-2012。

  2. SM2标准中规定采用256比特的椭圆曲线域参数。

  3. SM2算法采用SM3算法作为算法步骤中的哈希算法,SM3算法的输出是256比特的哈希值。

  4. 根据GM/T 0009-2012,SM2密文格式如下:


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

这里,XCoordinate和YCoordinate是加密过程基于随机数计算出的椭圆曲线点的X坐标和Y坐标。


overhead取值分析


查看sm2_plaintext_size函数:
  1. field_size = ec_field_size(EC_KEY_get0_group(key)),对于SM2算法,field_size等于32。

  2. md_size = EVP_MD_size(digest),SM2算法采用SM3算法,因此md_size等于32。


从上述2点可知,sm2_plaintext_size函数中的overhead取值等于106(10+2*32+32)。


这里的magic number 10背后有什么含义呢?


  1. 对于SM2密文,ASN.1包括5个Tag和5个Length,ASN.1编码引入的长度不小于10个字节。分析如下:

    每个Tag占1个字节,5个Tag占5个字节。

    XCoordinate、YCoordinate和HASH由于值的长度范围相对固定,这3个Length占3个字节。

    取决于CipherText值,CipherText和第一个tag后面的Length长度不定,这2个Length可能超过2个字节。

  2. 这里overhead选择10,是选择SM2密文ASN.1编码引入的长度的最小值。


返回的长度等于msg_len - overhead,若overhead取值小,则返回长度大,分配内存大于实际需要,不会溢出。


这里的field_size没有考虑XCoordinate和YCoordinate的具体取值,有没有风险?


1)XCoordinate和YCoordinate是加密过程基于随机数计算出的椭圆曲线点的X坐标和Y坐标,满足以下方程:


YCoordinate * YCoordinate ≡ XCoordinate * XCoordinate * XCoordinate - 3 * XCoordinate + b(mod p)


这里,≡表示方程的左右两边模p的结果相等,p和b是SM2国密标准中规定的常数。


2)满足上述方程的XCoordinate和YCoordinate通常都是占32字节的大数。


3)如果密文中携带的XCoordinate占31字节,YCoordinate占32字节,则真实的overhead可能小于106。


此时使用msg_len - 106的结果去会分配空间,导致分配的空间小于解密后的结果,内存越界写。


4)存在满足上述方程的占31字节甚至更少的XCoordinate或YCoordinate吗?


OpenSSL给出的SM2密文数据示例给出了肯定的回答。


触发漏洞的数据示例

1、SM2密文数据


OpenSSL给出的密文数据示例如下:


3072022070DAD60CDA7C30D64CF4F278A849003581223F5324BFEC9BB329229BFFAD21A6021F18AFAB2B35459D2643243B242BE4EA80C6FA5071D2D847340CC57EB9309E5D04200B772E4DB664B2601E3B85E39C4AA8C2C1910308BE13B331E009C5A9258C29FD040B6D588BE9260A94DA18E0E6


2、解析SM2密文


这组密文的长度是116字节。按照ASN.1格式解析这组密文:


3072   //30表示SEQUENCE类型,72表示后续的数据总长度是114字节

0220  //02表示INTEGER类型,20表示该整数的长度是32字节

70DAD60CDA7C30D64CF4F278A849003581223F5324BFEC9BB329229BFFAD21A6 //32字节的XCoordinate

021F //02表示INTEGER类型,1F表示该整数的长度是31字节

18AFAB2B35459D2643243B242BE4EA80C6FA5071D2D847340CC57EB9309E5D //31字节的YCoordinate

0420  //04表示OCTETSTRING类型,20表示该字符串的长度是32字节

0B772E4DB664B2601E3B85E39C4AA8C2C1910308BE13B331E009C5A9258C29FD //32字节的HASH

040B //04表示OCTETSTRING类型,0B表示该字符串的长度是11字节

6D588BE9260A94DA18E0E6 //11字节的密文

经过验证,上述的XCoordinate和YCoordinate满足SM2椭圆曲线方程。


漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711


3、触发堆溢出


  1. 第一次调用pkey_sm2_decrypt,指针out为NULL,msg_len等于116。

    sm2_plaintext_size函数返回10(msg_len - overhead = 116 - 106)。

  2. 通过OPENSSL_malloc分配10字节的内存,out指向该内存。

  3. 第二次调用pkey_sm2_decrypt,由于密文有11字节,因此解密结果也是11字节。


out指向的内存是10字节,而解密结果是11字节,导致越界写1字节。


腾讯自研国密库不受该漏洞影响

近年来,国家积极推进国产密码基础设施的建设,推广与应用。

为贯彻落实国家密码战略,推进公司产品信息安全,腾讯自研了TencentSM国密算法库,摆脱对国外开源密码算法库的依赖。

TencentSM符合国密SM2、SM3以及SM4算法标准,已在腾讯多个业务中平稳运行。

TencentSM自研了SM2解密实现,未使用和参考OpenSSL该部分所对应的代码,不受该漏洞影响。

漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
END

更多精彩内容点击下方扫码关注哦~



漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-
漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

关注云鼎实验室,获取更多安全情报

漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

本文始发于微信公众号(云鼎实验室):漏洞分析 | OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: