Server certificate common name not checked

Атакующий может использовать допустимый сертификат для олицетворения доверенного узла

Описание

Дефект возникает, когда вы не проверяете общее имя, указанное в сертификате сервера, на доменное имя сервера.

Обычно, когда клиент соединяется с сервером, сервер отправляет цифровой сертификат клиенту, который идентифицирует сервер как доверенная сущность. Сертификат содержит сведения о сервере, включая общее имя сервера. Общее имя совпадает с доменным именем сервера, идентифицируемым сертификатом как доверенная сущность.

Шашка не поднимает дефект, если:

Контекст SSL передается в качестве аргумента в функцию, которая вызывает SSL_new.
Контекст SSL объявляется вне возможностей функции, обрабатывающей соединение.

Риск

Злоумышленник может использовать действительный сертификат для олицетворения доверенного узла, в результате чего клиент взаимодействует с ненадежным сервером.

Зафиксировать

Используйте одну из этих функций, чтобы задать доменное имя сервера, которое программа проверяет на соответствие общему имени, указанному в сертификате сервера.

SSL_set_tlsext_host_name
SSL_set1_host
SSL_add1_host

Примеры

расширить все

Клиент проверяет сертификат сервера, но не доменное имя сервера


#include <stdio.h>
#include <stdlib.h>
#include <openssl/ssl.h>

#define fatal_error() exit(-1)

void check_certificate(SSL_CTX* ctx, SSL* ssl)
{
    /* Check for Client authentication error */
    if (!SSL_get_peer_certificate(ssl)) {
        printf("SSL Client Authentication error\n");
        SSL_free(ssl);
        SSL_CTX_free(ctx);
        exit(0);
    }
    /* Check for Client authentication error */
    if (SSL_get_verify_result(ssl) != X509_V_OK) {
        printf("SSL Client Authentication error\n");
        SSL_free(ssl);
        SSL_CTX_free(ctx);
        exit(0);
    }
}

void func()
{
    int ret;
    SSL_CTX* ctx;
    SSL* ssl;

    /* creation context for the SSL protocol */
    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL) fatal_error();

    /* Handle connection */
    ssl = SSL_new(ctx);
    SSL_set_connect_state(ssl);
    check_certificate(ctx, ssl);
    ret = SSL_connect(ssl);
    if (ret <= 0) fatal_error();

    SSL_free(ssl);
    SSL_CTX_free(ctx);
}

В этом примере структура SSL инициируется способом соединения с клиентом. Клиент проверяет сертификат сервера с помощью check_certificate. Однако клиент не проверяет, совпадает ли общее имя сертификата с доменным именем сервера. Атакующий может использовать действительный сертификат для олицетворения доверенного сервера.

Коррекция - укажите имя Области для проверки на соответствие общему имени сертификата

Одной из возможных коррекций является использование SSL_set1_host чтобы указать ожидаемое доменное имя, которое программа проверяет на соответствие общему имени сертификата сервера.


#include <stdio.h>
#include <stdlib.h>
#include <openssl/ssl.h>

#define fatal_error() exit(-1)

void check_certificate(SSL_CTX* ctx, SSL* ssl)
{
    /* Check for Client authentication error */
    if (!SSL_get_peer_certificate(ssl)) {
        printf("SSL Client Authentication error\n");
        SSL_free(ssl);
        SSL_CTX_free(ctx);
        exit(0);
    }
    /* Check for Client authentication error */
    if (SSL_get_verify_result(ssl) != X509_V_OK) {
        printf("SSL Client Authentication error\n");
        SSL_free(ssl);
        SSL_CTX_free(ctx);
        exit(0);
    }
}

void func()
{
    int ret;
    SSL_CTX* ctx;
    SSL* ssl;

    /* creation context for the SSL protocol */
    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL) fatal_error();

    /* Handle connection */
    ssl = SSL_new(ctx);
    SSL_set_connect_state(ssl);
    check_certificate(ctx, ssl);
    ret = SSL_set1_host(ssl, "www.mysite.com");
    if (ret <= 0) fatal_error();
    ret = SSL_connect(ssl);
    if (ret <= 0) fatal_error();

    SSL_free(ssl);
    SSL_CTX_free(ctx);
}

Информация о результатах

Группа: Криптография

Язык: C | C++

По умолчанию: Off

Синтаксис командной строки : CRYPTO_SSL_HOSTNAME_NOT_CHECKED

Влияние: Средний

ИДЕНТИФИКАТОР CWE: 297

См. также

Find defects (-checkers)

Темы

Введенный в R2020a

Документация Polyspace Bug Finder

Поддержка

Памятка переводчика

1. Если смысл перевода понятен, то лучше оставьте как есть и не придирайтесь к словам, синонимам и тому подобному. О вкусах не спорим.

2. Не дополняйте перевод комментариями “от себя”. В исправлении не должно появляться дополнительных смыслов и комментариев, отсутствующих в оригинале. Такие правки не получится интегрировать в алгоритме автоматического перевода.

3. Сохраняйте структуру оригинального текста - например, не разбивайте одно предложение на два.

4. Не имеет смысла однотипное исправление перевода какого-то термина во всех предложениях. Исправляйте только в одном месте. Когда Вашу правку одобрят, это исправление будет алгоритмически распространено и на другие части документации.

5. По иным вопросам, например если надо исправить заблокированное для перевода слово, обратитесь к редакторам через форму технической поддержки.