Está disponible una versión de mantenimiento de la biblioteca criptográfica OpenSSL 1.1.1k, que corrige dos vulnerabilidades a las que se les asigna un nivel de gravedad alto:
- CVE-2021-3450: es posible omitir la verificación de un certificado de autoridad certificadora cuando el indicador X509_V_FLAG_X509_STRICT está habilitado, que está deshabilitado de manera predeterminada y se usa para verificar adicionalmente la presencia de certificados en la cadena. El problema se introdujo en la implementación de OpenSSL 1.1.1h de una nueva verificación que prohíbe el uso de certificados en una cadena que codifica explícitamente parámetros de curva elíptica.
Debido a un error en el código, la nueva verificación anuló el resultado de una verificación realizada anteriormente sobre la exactitud del certificado de la autoridad de certificación. Como resultado, los certificados certificados por un certificado autofirmado, que no está vinculado por una cadena de confianza a una autoridad de certificación, se trataron como plenamente confiables. La vulnerabilidad no aparece si se establece el parámetro "propósito", que se establece de forma predeterminada en los procedimientos de verificación de certificados de cliente y servidor en libssl (utilizado para TLS).
- CVE-2021-3449: es posible provocar una falla del servidor TLS cuando un cliente envía un mensaje ClientHello especialmente diseñado. El problema está relacionado con la desreferencia del puntero NULL en la implementación de la extensión Signature_Algorithms. El problema solo ocurre en servidores que admiten TLSv1.2 y habilitan la renegociación de la conexión (habilitada de forma predeterminada).
Fuente: opennet.ru