Es ist eine Wartungsversion der OpenSSL-Kryptografiebibliothek 1.1.1k verfügbar, die zwei Schwachstellen behebt, denen ein hoher Schweregrad zugeordnet ist:
- CVE-2021-3450 – Es ist möglich, die Überprüfung eines Zertifikats einer Zertifizierungsstelle zu umgehen, wenn das Flag X509_V_FLAG_X509_STRICT aktiviert ist, das standardmäßig deaktiviert ist und zur zusätzlichen Überprüfung des Vorhandenseins von Zertifikaten in der Kette verwendet wird. Das Problem wurde durch die Implementierung einer neuen Prüfung in OpenSSL 1.1.1h eingeführt, die die Verwendung von Zertifikaten in einer Kette verbietet, die explizit Parameter für elliptische Kurven kodieren.
Aufgrund eines Fehlers im Code hat die neue Prüfung das Ergebnis einer zuvor durchgeführten Prüfung auf Richtigkeit des Zertifikats der Zertifizierungsstelle überschrieben. Infolgedessen wurden Zertifikate, die durch ein selbstsigniertes Zertifikat zertifiziert wurden, das nicht durch eine Vertrauenskette mit einer Zertifizierungsstelle verbunden ist, als vollständig vertrauenswürdig behandelt. Die Schwachstelle tritt nicht auf, wenn der Parameter „Zweck“ festgelegt ist, der standardmäßig in den Verfahren zur Überprüfung von Client- und Serverzertifikaten in libssl (für TLS verwendet) festgelegt ist.
- CVE-2021-3449 – Es ist möglich, einen TLS-Serverabsturz zu verursachen, wenn ein Client eine speziell gestaltete ClientHello-Nachricht sendet. Das Problem hängt mit der NULL-Zeiger-Dereferenzierung in der Implementierung der Signature_algorithms-Erweiterung zusammen. Das Problem tritt nur auf Servern auf, die TLSv1.2 unterstützen und die Neuaushandlung von Verbindungen aktivieren (standardmäßig aktiviert).
Source: opennet.ru