OpenSSL kriptoqrafik kitabxanasının 1.1.1k texniki buraxılışı mövcuddur ki, bu da yüksək ciddilik dərəcəsi təyin edilmiş iki zəifliyi aradan qaldırır:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT bayrağı aktiv olduqda sertifikat orqanı sertifikatının yoxlanışından yan keçmək mümkündür, bu, defolt olaraq söndürülür və zəncirdə sertifikatların mövcudluğunu əlavə yoxlamaq üçün istifadə olunur. Problem OpenSSL 1.1.1h-nin elliptik əyri parametrlərini açıq şəkildə kodlayan zəncirdə sertifikatların istifadəsini qadağan edən yeni yoxlamanın həyata keçirilməsində ortaya çıxdı.
Koddakı səhvə görə, yeni çek sertifikatlaşdırma orqanının sertifikatının düzgünlüyünə dair əvvəllər yerinə yetirilən yoxlamanın nəticəsini ləğv etdi. Nəticədə, sertifikatlaşdırma orqanı ilə etimad zənciri ilə əlaqələndirilməyən, öz-özünə imzalanmış sertifikatla təsdiq edilmiş sertifikatlar tam etibarlı sayılır. Libssl-də (TLS üçün istifadə olunur) klient və server sertifikatının yoxlanılması prosedurlarında defolt olaraq təyin olunan “məqsəd” parametri təyin olunarsa, zəiflik görünmür.
- CVE-2021-3449 – Xüsusi hazırlanmış ClientHello mesajı göndərən müştəri vasitəsilə TLS serverinin çökməsinə səbəb ola bilər. Məsələ, signature_alqoritmləri genişləndirilməsinin həyata keçirilməsində NULL göstəriciyə istinadla bağlıdır. Problem yalnız TLSv1.2-ni dəstəkləyən və əlaqəni yenidən müzakirə etməyə imkan verən serverlərdə baş verir (defolt olaraq aktivdir).
Mənbə: opennet.ru