Даступны які карэктуе выпуск крыптаграфічнай бібліятэкі OpenSSL 1.1.1k , у якім ухіленыя дзве ўразлівасці, якім прысвоены высокі ўзровень небяспекі:
- CVE-2021-3450 - магчымасць абыходу праверкі сертыфіката які сведчыць цэнтра пры ўключэнні сцяга X509_V_FLAG_X509_STRICT, які адключаны па змаўчанні і ўжываецца для дадатковай праверкі наяўнасці сертыфікатаў у ланцужку. Праблема занесеная ў якая з'явілася ў OpenSSL 1.1.1h рэалізацыі новай праверкі, якая забараняе выкарыстанне сертыфікатаў у ланцужку, у якіх відавочна закадаваныя параметры эліптычнай крывой.
З-за памылкі ў кодзе новая праверка перавызначала вынік выкананай да гэтага праверкі карэктнасці сертыфіката які сведчыць цэнтра. У выніку сертыфікаты завераныя самападпісаным сертыфікатам, які не звязаны ланцужком даверу з які сведчыць цэнтрам, апрацоўваліся як цалкам вартыя даверу. Уразлівасць не выяўляецца ў выпадку ўсталёўкі параметру "purpose", які па змаўчанні выстаўляецца ў працэдурах праверкі кліенцкіх і серверных сертыфікатаў у libssl (ужываецца для TLS).
- CVE-2021-3449 – магчымасць выкліку краху сервера TLS праз адпраўку кліентам спецыяльна аформленага паведамлення ClientHello. Праблема звязана з разнайменаванне паказальніка NULL у рэалізацыі пашырэння signature_algorithms. Праблема выяўляецца толькі на серверах з падтрымкай TLSv1.2 і дазволам паўторнага ўзгаднення злучэння (уключана па змаўчанні).
Крыніца: opennet.ru