'n Instandhoudingsvrystelling van die OpenSSL-kriptografiese biblioteek 1.1.1k is beskikbaar, wat twee kwesbaarhede regstel wat 'n hoë ernsvlak toegewys word:
- CVE-2021-3450 - Dit is moontlik om die verifikasie van 'n sertifikaatowerheidsertifikaat te omseil wanneer die X509_V_FLAG_X509_STRICT-vlag geaktiveer is, wat by verstek gedeaktiveer is en gebruik word om addisioneel die teenwoordigheid van sertifikate in die ketting na te gaan. Die probleem is bekendgestel in OpenSSL 1.1.1h se implementering van 'n nuwe tjek wat die gebruik van sertifikate in 'n ketting verbied wat eksplisiet elliptiese kurwe parameters kodeer.
As gevolg van 'n fout in die kode, het die nuwe kontrole die resultaat van 'n voorheen uitgevoer kontrole vir die korrektheid van die sertifiseringsowerheidsertifikaat oortree. Gevolglik is sertifikate gesertifiseer deur 'n selfondertekende sertifikaat, wat nie deur 'n ketting van vertroue aan 'n sertifiseringsowerheid gekoppel is nie, as ten volle betroubaar beskou. Die kwesbaarheid verskyn nie as die "doel"-parameter gestel is, wat by verstek gestel is in die kliënt- en bedienersertifikaatverifikasieprosedures in libssl (gebruik vir TLS).
- CVE-2021-3449 – Dit is moontlik om 'n TLS-bediener-ongeluk te veroorsaak deur 'n kliënt wat 'n spesiaal vervaardigde ClientHello-boodskap stuur. Die probleem hou verband met NULL-wyserverwysing in die implementering van die signature_algorithms-uitbreiding. Die probleem kom slegs voor op bedieners wat TLSv1.2 ondersteun en heronderhandeling van verbinding moontlik maak (by verstek geaktiveer).
Bron: opennet.ru