Una versione di mantenimentu di a libreria criptografica OpenSSL 1.1.1k hè dispunibule, chì corregge duie vulnerabilità chì sò attribuiti un livellu di gravità elevatu:
- CVE-2021-3450 - Hè pussibule di scaccià a verificazione di un certificatu di l'autorità di certificazione quandu a bandiera X509_V_FLAG_X509_STRICT hè attivata, chì hè disattivata per automaticamente è hè aduprata per verificà in più a presenza di certificati in a catena. U prublema hè statu introduttu in l'implementazione di OpenSSL 1.1.1h di un novu verificatu chì pruibisce l'usu di certificati in una catena chì codifica esplicitamente i paràmetri di curva ellittica.
A causa di un errore in u codice, u novu verificatu hà annullatu u risultatu di un verificatu previamente realizatu per a correttezza di u certificatu di l'autorità di certificazione. In u risultatu, i certificati certificati da un certificatu autofirmatu, chì ùn hè micca ligatu da una catena di fiducia à una autorità di certificazione, sò stati trattati cum'è pienamente affidabili. A vulnerabilità ùn appare micca se u paràmetru "purpose" hè stabilitu, chì hè stabilitu per difettu in i prucessi di verificazione di u certificatu di u cliente è di u servitore in libssl (usatu per TLS).
- CVE-2021-3449 - Hè pussibule di causà un crash di u servitore TLS via un cliente chì invià un messagiu ClientHello apposta. U prublema hè ligata à a deferenza di puntatore NULL in l'implementazione di l'estensione signature_algorithms. U prublema si trova solu in i servitori chì supportanu TLSv1.2 è attivanu a rinegoziazione di cunnessione (attivata per difettu).
Source: opennet.ru