Актуализация на OpenSSL 1.1.1k с корекции за две опасни уязвимости

Налично е издание за поддръжка на криптографската библиотека OpenSSL 1.1.1k, което коригира две уязвимости, на които е присвоено високо ниво на сериозност:

• CVE-2021-3450 - Възможно е да се заобиколи проверката на сертификат на сертифициращ орган, когато е активиран флагът X509_V_FLAG_X509_STRICT, който е деактивиран по подразбиране и се използва за допълнителна проверка на наличието на сертификати във веригата. Проблемът беше въведен в реализацията на OpenSSL 1.1.1h на нова проверка, която забранява използването на сертификати във верига, които изрично кодират параметри на елиптична крива.

  Поради грешка в кода, новата проверка замени резултата от предишна проверка за коректност на сертификата на удостоверяващия орган. В резултат на това сертификатите, сертифицирани от самоподписан сертификат, който не е свързан с верига на доверие със сертифициращ орган, бяха третирани като напълно надеждни. Уязвимостта не се появява, ако е зададен параметърът „purpose“, който е зададен по подразбиране в процедурите за проверка на сертификата на клиента и сървъра в libssl (използван за TLS).

• CVE-2021-3449 – Възможно е да предизвикате срив на TLS сървър чрез изпращане на специално създадено ClientHello съобщение от клиент. Проблемът е свързан с дерефериране на указател NULL в изпълнението на разширението signature_algorithms. Проблемът възниква само на сървъри, които поддържат TLSv1.2 и позволяват предоговаряне на връзката (активирано по подразбиране).

Източник: opennet.ru