Dostupno je izdanje za održavanje OpenSSL kriptografske biblioteke 1.1.1k, koje popravlja dvije ranjivosti kojima je dodijeljen visoki nivo ozbiljnosti:
- CVE-2021-3450 - Moguće je zaobići verifikaciju sertifikata autoriteta za izdavanje sertifikata kada je omogućena oznaka X509_V_FLAG_X509_STRICT, koja je podrazumevano onemogućena i koristi se za dodatnu proveru prisustva sertifikata u lancu. Problem je uveden u OpenSSL 1.1.1h implementaciji nove provjere koja zabranjuje korištenje certifikata u lancu koji eksplicitno kodira parametre eliptičke krive.
Zbog greške u kodu, nova provjera je nadjačala rezultat prethodno obavljene provjere ispravnosti certifikata certifikacijskog tijela. Kao rezultat toga, certifikati certificirani samopotpisanim certifikatom, koji nije povezan lancem povjerenja s certifikacijskim tijelom, tretirani su kao potpuno pouzdani. Ranjivost se ne pojavljuje ako je postavljen parametar “purpose”, koji je po defaultu postavljen u procedurama provjere certifikata klijenta i servera u libssl (koristi se za TLS).
- CVE-2021-3449 – Moguće je izazvati pad TLS servera putem klijenta koji šalje posebno kreiranu ClientHello poruku. Problem je povezan sa dereferenciranjem NULL pokazivača u implementaciji ekstenzije signature_algorithms. Problem se javlja samo na serverima koji podržavaju TLSv1.2 i omogućavaju ponovno pregovaranje o vezi (omogućeno po defaultu).
izvor: opennet.ru