Ein Korrektur-Release der Kryptographiebibliothek OpenSSL 1.1.1k ist verfügbar, in dem zwei Sicherheitsanfälligkeiten mit hohem Gefährdungsgrad behoben wurden:
- CVE-2021-3450 — die Möglichkeit, die Überprüfung des Zertifikats der Zertifizierungsstelle zu umgehen, wenn das Flag X509_V_FLAG_X509_STRICT aktiviert ist, welches standardmäßig deaktiviert ist und für eine zusätzliche Überprüfung der Existenz von Zertifikaten in der Kette verwendet wird. Das Problem wurde in der in OpenSSL 1.1.1h eingeführten neuen Überprüfung aufgenommen, die die Verwendung von Zertifikaten in der Kette verweigert, in denen die Parameter der elliptischen Kurve explizit kodiert sind.
Durch einen Fehler im Code überschritt die neue Überprüfung das Ergebnis einer zuvor durchgeführten Überprüfung der Validität des Zertifikats der Zertifizierungsstelle. Infolgedessen wurden Zertifikate, die von einem selbstsignierten Zertifikat ausgestellt wurden, das nicht mit der Zertifizierungsstelle in einer Vertrauenskette verbunden ist, als vollständig vertrauenswürdig behandelt. Die Sicherheitsanfälligkeit tritt nicht auf, wenn der Parameter „purpose“ gesetzt ist, der standardmäßig in den Überprüfungsprozessen für Client- und Serverzertifikate in libssl (verwendet für TLS) festgelegt wird.
- CVE-2021-3449 — die Möglichkeit eines Absturzes Server TLS wird durch das Senden einer speziell formatierten ClientHello-Nachricht durch den Client aktiviert. Das Problem steht im Zusammenhang mit dereferenzierten NULL-Zeigern in der Implementierung der Erweiterung signature_algorithms. Das Problem tritt nur auf Servern bei Unterstützung von TLSv1.2 und der Erlaubnis zur Wiederverhandlung der Verbindung (standardmäßig aktiviert).
Quelle: opennet.ru
