Hi ha disponible una versió de manteniment de la biblioteca criptogràfica OpenSSL 1.1.1k, que soluciona dues vulnerabilitats a les quals se'ls assigna un nivell de gravetat elevat:
- CVE-2021-3450: és possible ometre la verificació d'un certificat d'autoritat de certificació quan el senyalador X509_V_FLAG_X509_STRICT està habilitat, que està desactivat per defecte i s'utilitza per comprovar addicionalment la presència de certificats a la cadena. El problema es va introduir en la implementació d'OpenSSL 1.1.1h d'una nova comprovació que prohibeix l'ús de certificats en una cadena que codifiquen explícitament els paràmetres de la corba el·líptica.
A causa d'un error en el codi, la nova comprovació ha anul·lat el resultat d'una comprovació prèviament realitzada per a la correcció del certificat de l'autoritat de certificació. Com a resultat, els certificats certificats per un certificat autofirmat, que no està vinculat per una cadena de confiança a una autoritat de certificació, es van tractar com a totalment fiables. La vulnerabilitat no apareix si s'estableix el paràmetre "propòsit", que s'estableix per defecte als procediments de verificació de certificats de client i servidor a libssl (utilitzat per a TLS).
- CVE-2021-3449: és possible provocar un bloqueig del servidor TLS mitjançant un client que envia un missatge ClientHello especialment dissenyat. El problema està relacionat amb la desreferència del punter NULL en la implementació de l'extensió signature_algorithms. El problema només es produeix als servidors que admeten TLSv1.2 i habiliten la renegociació de la connexió (activada de manera predeterminada).
Font: opennet.ru