GnuTLS vs. Debian OpenSSL

Par Trou, lundi 8 décembre 2008 à 22:09 :: Invités
Lu 8706 fois :: #310 :: rss :: atom ::

Podium

près la publicité, certes légitime, autour de la faille OpenSSL dans Debian du début de cette année, penchons-nous sur une vulnérabilité récente qui n'a absolument pas fait parler d'elle, malgré ses conséquences désastreuses.

Celle-ci affecte également une bibliothèque implémentant le protocole TLS : GnuTLS. Référencée par les identifiants GNUTLS-SA-2008-3 et CVE-2008-4989, cette faille permet à un attaquant de contourner la vérification de la chaîne de confiance d'un certificat. C'est-à-dire faire considérer comme légitime (signé par une autorité de confiance) un certificat qui ne devrait pas l'être (par exemple auto-signé).

Avant de voir les causes de cette faille, précisons qu'elle a été découverte par hasard, suite à une erreur : Martin von Gagern avait interverti deux certificats dans la chaîne présentée par son serveur Web au client.

La faille

En effet, la faille est due à la fonction _gnutls_x509_verify_certificate qui, comme son nom l'indique, vérifie une chaîne de certificats par rapport à une liste d'autorités de certification (AC) de confiance (trusted CA). En théorie, cette chaîne doit se terminer par un certificat signé par une autorité de confiance, ceci permettant d'authentifier l'autre partie d'une communication. Par la suite nous considérerons le cas d'un client se connectant à un serveur Web et voulant vérifier l'identité de ce dernier.

Dans le cas usuel, le serveur ne fournit qu'un seul certificat, signé par une AC reconnue par le navigateur du client, mais il est également possible de fournir une chaîne de certificats.

Voyons donc le corps de la fonction vulnérable :

static unsigned int
_gnutls_x509_verify_certificate (const gnutls_x509_crt_t * certificate_list,
				 int clist_size,
				 const gnutls_x509_crt_t * trusted_cas,
				 int tcas_size,
				 const gnutls_x509_crl_t * CRLs,
				 int crls_size, unsigned int flags)
{
  int i = 0, ret;
  unsigned int status = 0, output;
  /* Verify the last certificate in the certificate path
   * against the trusted CA certificate list.
   *
   * If no CAs are present returns CERT_INVALID. Thus works
   * in self signed etc certificates.
   */
  ret =
    _gnutls_verify_certificate2 (certificate_list[clist_size - 1],
				 trusted_cas, tcas_size, flags, &output);
  if (ret == 0)
    {
    [...] (return)
    }
  [...]
  /* Check if the last certificate in the path is self signed.
   * In that case ignore it (a certificate is trusted only if it
   * leads to a trusted party by us, not the server's).
   */
  if (gnutls_x509_crt_check_issuer (certificate_list[clist_size - 1],
				    certificate_list[clist_size - 1]) > 0
      && clist_size > 0)
    {
      clist_size--;
    }
  /* Verify the certificate path (chain) 
   */
  for (i = clist_size - 1; i > 0; i--)
    {
      if (i - 1 < 0)
	break;
	[...]
      if ((ret =
	   _gnutls_verify_certificate2 (certificate_list[i - 1],
					&certificate_list[i], 1, flags,
					NULL)) == 0)
	{
	  status |= GNUTLS_CERT_INVALID;
	  return status;
	}
    }
  return 0;
}

En clair, les étapes sont les suivantes:

Vérification du dernier certificat de la chaîne vis à vis des AC de confiance
Si le certificat n'est pas signé par une AC reconnue, la fonction retourne une erreur
Si le dernier certificat est auto-signé, alors on le supprime de la liste
Vérification de la signature de chaque certificat de la chaîne par rapport à celui de niveau supérieur

Si l'on lit cette liste attentivement, on constate que si le dernier certificat de la chaîne est valide et auto-signé alors l'avant dernier sera implicitement considéré comme valide. A priori cela ne semble pas problématique ... sauf que tous (?) les certificats des AC standards sont auto-signés.

L'exploitation de la faille est donc extrêmement aisée, comme on peut le constater ici ou dans le programme de test rajouté dans GnuTLS.

Il suffit en effet pour usurper l'identité d'un serveur de présenter au client une chaîne de certificats ainsi constituée :

Un certificat auto-signé ayant le même Common Name que le serveur légitime
Un certificat de confiance auto-signé : par exemple celui de Thawte.

GnuTLS va vérifier si le certificat de Thawte est de confiance, puis le supprimer. Ensuite, la boucle de vérification ne sera même pas utilisée, clist_size vallant maintenant 0, la fonction va retourner 0 à l'appelant, la chaîne est donc considérée comme valide.

Il est également intéressant de rechercher l'origine de la faille. L'historique du dépôt GIT du projet nous permet de retrouver le commit responsable de la faille. Le message de commit dit "Corrected a bug in certificate verification that could lead to a trusted certificate path to be marked as non-trusted, if it included the last self-signed certificate in the chain". Le problème a donc été ajouté en tentant de renforcer la sécurité ! De plus, si on étudie attentivement le premier patch publié pour corriger la vulnérabilité (GnuTLS v2.6.1), celui-ci déplace la suppression du dernier certificat de la chaîne (si celui-ci est auto-signé) au début de la fonction, ce qui est complètement idiot : une chaîne terminée par un certificat auto-signé sera amputée et donc incomplète, y compris lorsque la chaîne n'a qu'un élément, cas qui provoque des segfaults. Au final, la correction, correspondant à la version 2.6.2, consiste à retirer complètement la suppression des certificats auto-signés de la chaîne de vérification, ce qui est logique, un utilisateur peut vouloir truster un certificat auto-signé !

Conséquences

Les problèmes liés à cette faille sont simples :

un attaquant pouvant faire un man in the middle peut se faire passer pour le serveur légitime sans alerte
un attaquant peut s'authentifier en temps que client légitime sur un serveur utilisant l'authentification par certificats

Le premier cas peut se combiner avec LA faille DNS ou alors n'importe quelle technique sur un réseau local. Le deuxième est plus problématique, vu qu'il ne nécessite pas de détournement de flux, cependant le nombre de serveurs utilisant l'authentification par certificat et GnuTLS doit être relativement faible.

Quels sont les logiciels impactés ? La réponse est relativement difficile à donner mais on peut se faire une idée sur Debian à l'aide de l'outil apt-rdepends : apt-rdepends -r libgnutls 26 retourne 193 packages dépendants directement de GnuTLS, notamment lftp, curl. De nombreux projets sont liés à GnuTLS au lieu de OpenSSL pour des questions de licence : la licence OpenSSL est incompatible avec la GPL. Certains projets choisissent donc GnuTLS, malgré ses performances atroces et son code parfois très moche.

Buzz ?

Plus que la vulnérabilité en elle-même, plusieurs points méritent selon moi l'attention. Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle de OpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Mais le point le plus important reste la façon dont les développeurs de GnuTLS ont géré cette faille : la correction publiée a été complètement catastrophique, comme vu plus haut. Le premier patch a été sorti en vitesse sans même vérifier qu'il fonctionnait correctement ! Compte tenu de l'importance de cette bibliothèque, comme on dit, c'est ballot.

Enfin, je conclurai en vous invitant à ne pas utiliser GnuTLS dans vos logiciels (regardez le code pour vous en convaincre, si vous ne l'êtes pas déjà), utilisez OpenSSL (ou XySSL ;), rajoutez la clause qui va bien dans la GPL s'il le faut. Finalement, tout ça, c'est à cause de la licence d'OpenSSL, non compatible avec la GPL. Si celle-ci l'avait été, il n'y aurait probablement pas eu autant de volonté de créer une alternative sous licence GPL...

P.S. : Merci à Sid pour m'avoir laissé une petite place sur son (très bon) blog :)

Trou

Commentaires

1. Le mardi 9 décembre 2008 à 01:35, par jmdesp

Euh, il y a quelque chose de pas bien clair dans cette explication.

Je dirais plutôt :
- la liste contient tous les certificats de la chaîne ordonnés à partir du niveau d'AC le plus haut, jusqu'au niveau le plus bas le certificat du serveur.
- on vérifie que le certificat de niveau le plus haut est signé par une ac reconnue
- s'il est auto-signé, on le retire de la liste
- on vérifie que le certificat de niveau le plus haut restant sur la liste signe le certificat qui le suit, récursivement.

Sauf que dans l'histoire, après le retrait du certificat auto-signé, le certificat tout en haut de la liste est utilisé pour vérifier les autres, mais lui n'a été vérifié par personne. En fait si après suppression du certificat auto-signé, il ne reste qu'un seul certificat dans la liste, aucune vérification n'est faite.

Ceci dit les gens d'openssl auront plutôt intérêt à rester discret, car au moment de la faille de vérification de signature CVE-2006-4339 , ils se sont de leur coté aussi tapé la honte du siècle. Rappelons comment elle a été découverte : L'inventeur de la faille avait trouvé une attaque réalisable uniquement si une implémentation RSA naïve oubliait la dernière étape de vérification d'intégrité des données signées. Il a publié le truc convaincu qu'aucune implémentation sérieuse n'avait pu omettre cette étape ...
Mais pour tout dire, il n'y a pas eu que OpenSSL à alors publier un patch en urgence.

Il est vrai que l'autre erreur corrigée en même temps dans gnu tls ne rassure pas sur leur sérieux :
"Fix patch against X509_get_issuer_name."
It incorrectly returned the subject DN instead of issuer DN in v2.6.0.

En tout cas merci pour l'attention donnée à cette faille qui le mérite mille fois.

Réponse de Sid

Je vais laisser le père Trou te répondre pour éclaircir ses propos.

Par contre, c'est le genre de chose qui me rappelle furieusement une vieille faille de vérification des contraintes de base des certificats par IE. Ce qui donnait prise à des attaques en MiM relativement simples à mettre en œuvre.

Réponse de Trou

jmdesp : l'explication est cohérente si l'on se réfère au code source, où le niveau d'AC le plus haut est situé à la fin du tableau.

Merci cependant pour les explications qui peuvent clarifier le problème :)

Concernant OpenSSL, je ne dis pas que cette bibliothèque est la panacée, mais qu'elle est sans aucun doute d'un bien meilleur niveau que GnuTLS et l'exemple que tu donnes montre une nouvelle fois la qualité très "limite" du code.

2. Le mardi 9 décembre 2008 à 10:43, par goundoulf

XySSL avait l'air bien partie, mais http://xyssl.org est down depuis plusieurs mois, et depuis, plus de nouvelles, ni de mises à jour... :(

Sinon il y a aussi CYaSSL et MatrixSSL qui sont pas mal

3. Le mardi 9 décembre 2008 à 19:35, par nico_ze_poo

"Finalement, tout ça, c'est à cause de la licence d'OpenSSL, non compatible avec la GPL. Si celle-ci l'avait été, il n'y aurait probablement pas eu autant de volonté de créer une alternative sous licence GPL..."

Si je me souviens bien, OpenSSL est sous licence BSD, qui autorise la réutilisation du code sous n'importe quelle licence.

Je pense que le mieux aurait été de vérifier, par exemple en allant lire le lien fourni par Trou dans le billet, juste sous "incompatible" :
http://en.wikipedia.org/wiki/OpenSSL#Licensing

En gros, on va t'y expliquer qu'OpenSSL est publié sous une double licence OpenSSL et SSLeay, dans le sens où les termes des deux licences s'appliquent. Le résultat est jugé incompatible avec la GPL par la FSF, principalement à cause des troisième et sixième clauses, lesquelles sont à rapprocher du cas de la licence BSD originale, et dans une moindre mesure de la cinquième clause.

Il y a un texte très bien sur la question chez Gnome, avec des référence à la position de Debian qui conduit par exemple à se retrouver sans support TLS dans FreeRADIUS...

4. Le jeudi 11 décembre 2008 à 11:40, par Al4mbic

--> "XySSL avait l'air bien partie, mais http://xyssl.org est down depuis plusieurs mois, et depuis, plus de nouvelles, ni de mises à jour... :("

Oui et d'après l'auteur du site, ça restera malheureusement down pendant un long moment :s

5. Le jeudi 11 décembre 2008 à 15:42, par Kirikou

Rien à voir avec le billet : Je voudrais connaitre les dates des 9eme Journee Crypto et Secu Info à Limoges... :-)

6. Le vendredi 12 décembre 2008 à 15:07, par goundoulf

@Al4mbic: pour quelle raison XySSL est down et le restera encore ? T'en sais un peu plus ?

7. Le lundi 15 décembre 2008 à 17:55, par Al4mbic

@goundoulf: heu...Je crois que l'auteur est sur d'autres projets en ce moment. De ce fait, il n'a plus vraiment le temps de s'occuper de XySSL (à vérifier).

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...

Trackbacks

Commentaires

Ajouter un commentaire

Abonnez-vous

À propos...

Rechercher

Calendrier

Hitmap

Dans la catégorie "Invités"

Langues

Catégories

Archives

Liens

Blogs

Webcomics

Chez moi (from me)

« avril 2013
lun	mar	mer	jeu	ven	sam	dim
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30