En vedligeholdelsesudgivelse af OpenSSL kryptografiske bibliotek 1.1.1k er tilgængelig, som løser to sårbarheder, der er tildelt et højt alvorlighedsniveau:
- CVE-2021-3450 - Det er muligt at omgå verifikationen af et certifikatmyndighedscertifikat, når X509_V_FLAG_X509_STRICT-flaget er aktiveret, som er deaktiveret som standard og bruges til yderligere at kontrollere tilstedeværelsen af certifikater i kæden. Problemet blev introduceret i OpenSSL 1.1.1hs implementering af en ny kontrol, der forbyder brugen af certifikater i en kæde, der eksplicit koder for elliptiske kurveparametre.
På grund af en fejl i koden tilsidesatte den nye kontrol resultatet af en tidligere udført kontrol for korrektheden af certificeringsmyndighedens certifikat. Som følge heraf blev certifikater certificeret af et selvsigneret certifikat, som ikke er forbundet med en tillidskæde til en certificeringsmyndighed, behandlet som fuldt ud troværdige. Sårbarheden vises ikke, hvis parameteren "formål" er indstillet, som er indstillet som standard i klient- og servercertifikatverifikationsprocedurerne i libssl (bruges til TLS).
- CVE-2021-3449 – Det er muligt at forårsage et TLS-servernedbrud via en klient, der sender en specielt udformet ClientHello-meddelelse. Problemet er relateret til NULL pointer-dereference i implementeringen af signatur_algorithms-udvidelsen. Problemet opstår kun på servere, der understøtter TLSv1.2 og aktiverer forbindelsesgenforhandling (aktiveret som standard).
Kilde: opennet.ru