<div dir="ltr">Is the description of the attack publicly available?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 9, 2020 at 3:39 PM OpenSSL <<a href="mailto:openssl@openssl.org">openssl@openssl.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA512<br>
<br>
OpenSSL Security Advisory [09 September 2020]<br>
=============================================<br>
<br>
Raccoon Attack (CVE-2020-1968)<br>
==============================<br>
<br>
Severity: Low<br>
<br>
The Raccoon attack exploits a flaw in the TLS specification which can lead to<br>
an attacker being able to compute the pre-master secret in connections which<br>
have used a Diffie-Hellman (DH) based ciphersuite. In such a case this would<br>
result in the attacker being able to eavesdrop on all encrypted communications<br>
sent over that TLS connection. The attack can only be exploited if an<br>
implementation re-uses a DH secret across multiple TLS connections. Note that<br>
this issue only impacts DH ciphersuites and not ECDH ciphersuites.<br>
<br>
OpenSSL 1.1.1 is not vulnerable to this issue: it never reuses a DH secret and<br>
does not implement any "static" DH ciphersuites.<br>
<br>
OpenSSL 1.0.2f and above will only reuse a DH secret if a "static" DH<br>
ciphersuite is used. These static "DH" ciphersuites are ones that start with the<br>
text "DH-" (for example "DH-RSA-AES256-SHA"). The standard IANA names for these<br>
ciphersuites all start with "TLS_DH_" but excludes those that start with<br>
"TLS_DH_anon_".<br>
<br>
OpenSSL 1.0.2e and below would reuse the DH secret across multiple TLS<br>
connections in server processes unless the SSL_OP_SINGLE_DH_USE option was<br>
explicitly configured. Therefore all ciphersuites that use DH in servers<br>
(including ephemeral DH) are vulnerable in these versions. In OpenSSL 1.0.2f<br>
SSL_OP_SINGLE_DH_USE was made the default and it could not be turned off as a<br>
response to CVE-2016-0701.<br>
<br>
Since the vulnerability lies in the TLS specification, fixing the affected<br>
ciphersuites is not viable. For this reason 1.0.2w moves the affected<br>
ciphersuites into the "weak-ssl-ciphers" list. Support for the<br>
"weak-ssl-ciphers" is not compiled in by default. This is unlikely to cause<br>
interoperability problems in most cases since use of these ciphersuites is rare.<br>
Support for the "weak-ssl-ciphers" can be added back by configuring OpenSSL at<br>
compile time with the "enable-weak-ssl-ciphers" option. This is not recommended.<br>
<br>
OpenSSL 1.0.2 is out of support and no longer receiving public updates.<br>
<br>
Premium support customers of OpenSSL 1.0.2 should upgrade to 1.0.2w.  If<br>
upgrading is not viable then users of OpenSSL 1.0.2v or below should ensure<br>
that affected ciphersuites are disabled through runtime configuration. Also<br>
note that the affected ciphersuites are only available on the server side if a<br>
DH certificate has been configured. These certificates are very rarely used and<br>
for this reason this issue has been classified as LOW severity.<br>
<br>
This issue was found by Robert Merget, Marcus Brinkmann, Nimrod Aviram and Juraj<br>
Somorovsky and reported to OpenSSL on 28th May 2020 under embargo in order to<br>
allow co-ordinated disclosure with other implementations.<br>
<br>
Note<br>
====<br>
<br>
OpenSSL 1.0.2 is out of support and no longer receiving public updates. Extended<br>
support is available for premium support customers:<br>
<a href="https://www.openssl.org/support/contracts.html" rel="noreferrer" target="_blank">https://www.openssl.org/support/contracts.html</a><br>
<br>
OpenSSL 1.1.0 is out of support and no longer receiving updates of any kind.<br>
The impact of this issue on OpenSSL 1.1.0 has not been analysed.<br>
<br>
Users of these versions should upgrade to OpenSSL 1.1.1.<br>
<br>
References<br>
==========<br>
<br>
URL for this Security Advisory:<br>
<a href="https://www.openssl.org/news/secadv/20200909.txt" rel="noreferrer" target="_blank">https://www.openssl.org/news/secadv/20200909.txt</a><br>
<br>
Note: the online version of the advisory may be updated with additional details<br>
over time.<br>
<br>
For details of OpenSSL severity classifications please see:<br>
<a href="https://www.openssl.org/policies/secpolicy.html" rel="noreferrer" target="_blank">https://www.openssl.org/policies/secpolicy.html</a><br>
-----BEGIN PGP SIGNATURE-----<br>
<br>
iQIzBAEBCgAdFiEEeVOsH7w9yLOykjk+1enkP3357owFAl9YzBsACgkQ1enkP335<br>
7oyIxg/9FWuca3/s/lY6g6a5VTPIekZMOLRUnDyzS3YePQu/sEd1w81mKoTqU+6F<br>
KQmliGqdRDk+KN8HDVd14kcLBukto8UKmkp9FpB5J4d2KK1I/Fg/DofJs6xUQYKb<br>
5rHRLB3DDoyHEBzEEIjcqYTTThXW9ZSByVK9SKpC78IRM/B2dfd0+j4hIB/kDC/E<br>
G+wieFzexHQVdleVYT/VaJ6qS8AwvohBbt8h7yK0P6v/4vEm0spDbUmjWJBVUlUu<br>
QZyELjj8XZR3YFxt3axSuJg3JSGYlaMzkt2+DVq4qEzeJLIydLK9J8p6RNwPhsJk<br>
Rx0ez8P4N+5O7XmA0nHv3HyompdMgHlvykj8Ks4lNHVS02KKLi1jDtmOxl3Fm/hb<br>
ZNOmjn7lulV1342pw4rWL3Nge3x0s0Q5zgBCm1mqLzzu/V1ksx8FJwGA1w2cH280<br>
dU9VedkC2wvFQije8pFrWH9l6N9Bh41DIEOnlBl0AL7IrbPdO6yMcD6vpR7hWjr3<br>
fx4hNJSAGzJ3i/NXlSj4eR/47zkjfJyEc8Drc2QgewyqXFrK20X/LOj8MqJlc+ry<br>
pXZseh+XC8WaYDMV1ltrKvE2Ld9/0f3Ydc04AcDeu5SXPJG79ogzVnchZok7+XCj<br>
RT+a3/ES45+CTfL5v27t5QJxJcxg4siLVsILfi0rIUv0IYgH2fU=<br>
=U7OO<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">SY, Dmitry Belyavsky</div>