Je k dispozici servisní verze kryptografické knihovny OpenSSL 1.1.1k, která opravuje dvě zranitelnosti, kterým je přiřazena vysoká úroveň závažnosti:
- CVE-2021-3450 - Ověření certifikátu certifikační autority je možné obejít, když je povolen příznak X509_V_FLAG_X509_STRICT, který je ve výchozím nastavení zakázán a slouží k dodatečné kontrole přítomnosti certifikátů v řetězci. Problém byl představen v implementaci nové kontroly OpenSSL 1.1.1h, která zakazuje použití certifikátů v řetězci, který explicitně kóduje parametry eliptické křivky.
Nová kontrola kvůli chybě v kódu přepíše výsledek dříve provedené kontroly správnosti certifikátu certifikační autority. V důsledku toho byly certifikáty certifikované certifikátem s vlastním podpisem, který není spojen řetězem důvěry s certifikační autoritou, považovány za plně důvěryhodné. Chyba se neobjeví, pokud je nastaven parametr „purpose“, který je standardně nastaven v procedurách ověření certifikátu klienta a serveru v libssl (používá se pro TLS).
- CVE-2021-3449 – Je možné způsobit selhání serveru TLS prostřednictvím klienta, který odesílá speciálně vytvořenou zprávu ClientHello. Problém souvisí s dereferencí NULL ukazatele při implementaci rozšíření signature_algorithms. K problému dochází pouze na serverech, které podporují TLSv1.2 a umožňují opětovné vyjednávání připojení (ve výchozím nastavení povoleno).
Zdroj: opennet.ru