يتوفر إصدار صيانة لمكتبة التشفير OpenSSL 1.1.1k، والذي يعمل على إصلاح اثنتين من نقاط الضعف التي تم تعيين مستوى خطورة مرتفع لها:
- CVE-2021-3450 - من الممكن تجاوز التحقق من شهادة المرجع المصدق عند تمكين علامة X509_V_FLAG_X509_STRICT، والتي يتم تعطيلها افتراضيًا وتستخدم للتحقق بشكل إضافي من وجود الشهادات في السلسلة. تم تقديم المشكلة في تطبيق OpenSSL 1.1.1h لفحص جديد يحظر استخدام الشهادات في سلسلة تقوم بتشفير معلمات المنحنى الناقص بشكل صريح.
بسبب خطأ في التعليمات البرمجية، تجاوز الفحص الجديد نتيجة فحص تم إجراؤه مسبقًا للتأكد من صحة شهادة المرجع المصدق. ونتيجة لذلك، تم التعامل مع الشهادات المصدقة بواسطة شهادة موقعة ذاتيًا، والتي لا ترتبط بسلسلة ثقة بمرجع مصدق، على أنها جديرة بالثقة تمامًا. لا تظهر الثغرة الأمنية إذا تم تعيين معلمة "الغرض"، والتي يتم تعيينها افتراضيًا في إجراءات التحقق من شهادة العميل والخادم في libssl (المستخدم لـ TLS).
- CVE-2021-3449 – من الممكن التسبب في تعطل خادم TLS عبر عميل يرسل رسالة ClientHello مصممة خصيصًا. تتعلق المشكلة بعدم مرجعية المؤشر NULL في تنفيذ ملحق التوقيع_الخوارزمي. تحدث هذه المشكلة فقط على الخوادم التي تدعم TLSv1.2 وتمكّن إعادة التفاوض على الاتصال (ممكّنة افتراضيًا).
المصدر: opennet.ru