Prizorga eldono de la kriptografa biblioteko OpenSSL 1.1.1k estas disponebla, kiu riparas du vundeblecojn al kiuj estas asignitaj alta severeco:
- CVE-2021-3450 - Eblas preteriri la konfirmon de atestilo de atestilo kiam la flago X509_V_FLAG_X509_STRICT estas ebligita, kiu estas malebligita defaŭlte kaj estas uzata por aldone kontroli la ĉeeston de atestiloj en la ĉeno. La problemo estis enkondukita en la efektivigo de OpenSSL 1.1.1h de nova kontrolo, kiu malpermesas la uzon de atestiloj en ĉeno, kiu eksplicite ĉifras elipsajn kurbajn parametrojn.
Pro eraro en la kodo, la nova kontrolo superpasis la rezulton de antaŭe farita kontrolo pri la ĝusteco de la atestadaŭtoritato. Kiel rezulto, atestiloj atestitaj per memsubskribita atestilo, kiu ne estas ligita per ĉeno de fido al atestadaŭtoritato, estis traktitaj kiel plene fidindaj. La vundebleco ne aperas se la "celo" parametro estas agordita, kiu estas agordita defaŭlte en la proceduroj pri kontrolo de atestiloj pri kliento kaj servilo en libssl (uzata por TLS).
- CVE-2021-3449 - Eblas kaŭzi TLS-servilon kraŝon per kliento sendanta speciale kreitan ClientHello-mesaĝon. La afero rilatas al NULL-montrila dereferenco en la efektivigo de la etendo de signature_algorithms. La problemo okazas nur ĉe serviloj kiuj subtenas TLSv1.2 kaj ebligas konektorentraktadon (defaŭlte ebligita).
fonto: opennet.ru