Saadaval on OpenSSL-i krüptoteegi 1.1.1k hooldusväljalase, mis parandab kaks turvaauku, millele on määratud kõrge raskusaste:
- CVE-2021-3450 – Sertifikaadi asutuse sertifikaadi kontrollimisest on võimalik mööda minna, kui on lubatud lipp X509_V_FLAG_X509_STRICT, mis on vaikimisi keelatud ja mida kasutatakse täiendavalt sertifikaatide olemasolu kontrollimiseks ahelas. Probleem ilmnes OpenSSL 1.1.1h uue kontrolli rakendamisega, mis keelab sertifikaatide kasutamise ahelas, mis kodeerivad selgesõnaliselt elliptilise kõvera parameetreid.
Koodivea tõttu alistas uus kontroll varem läbiviidud sertifitseerimisasutuse sertifikaadi õigsuse kontrolli tulemuse. Seetõttu käsitleti täielikult usaldusväärsetena sertifikaate, mis on sertifitseeritud iseallkirjastatud sertifikaadiga, mis ei ole usaldusahela kaudu sertifitseerimisasutusega seotud. Haavatavust ei kuvata, kui on määratud parameeter „purpose”, mis on vaikimisi määratud kliendi ja serveri sertifikaadi kontrollimise protseduurides libssl-is (kasutatakse TLS-i jaoks).
- CVE-2021-3449 – spetsiaalselt koostatud ClientHello sõnumi saatva kliendi kaudu on võimalik põhjustada TLS-serveri krahhi. Probleem on seotud NULL-i osuti viitega laienduse signature_algorithms juurutamisel. Probleem ilmneb ainult serverites, mis toetavad TLSv1.2 ja võimaldavad ühenduse uuesti läbirääkimist (vaikimisi lubatud).
Allikas: opennet.ru