Korrektiivne väljaanne OpenSSL 1.1.1k krüptograafia raamatukogust, mis kõrvaldab kaks haavatavust, mille ohtlikkuse tase on kõrge:
- CVE-2021-3450 — võimalus, et sertifikaadi väljastaja kinnitamise kontrolli ümbersõitmine on lubatud, kui X509_V_FLAG_X509_STRICT lipp on lubamata (see on vaikimisi välja lülitatud) ning seda kasutatakse sertifikaatide olemasolu täiendavaks kontrollimiseks ahelas. Probleem ilmus OpenSSL 1.1.1h versioonis uue kontrolli rakendamise tõttu, mis keelab sertifikaatide kasutamise ahelas, milles on selgelt kodeeritud elliptilise kõveraga seotud parameetrid.
Koodi vea tõttu ülekaalus uus kontroll varasema sertifikaadi valideerimise tulemuse. Seetõttu töödeldi enesekohase sertifikaadi poolt kinnitatud sertifikaate, mis ei ole tõenduskeskuse usaldusketis, täielikult usaldusväärsetena. Haavatavus ei avaldu, kui seadistada parameeter „purpose”, mis vaikimisi seadistatakse kliendi ja serveri sertifikaatide kontrollprotseduurides libssl-is (rakendatakse TLS-i jaoks).
- CVE-2021-3449 — võimalus käivitada krahh serverile TLS kliendi poolt spetsiaalselt vormindatud ClientHello sõnumi saatmise kaudu. Probleem on seotud NULL-punkteri dereferenseerimisega signature_algorithms laienduse teostuses. Probleem avaldub ainult serverites millega toetatakse TLSv1.2 ja taasühendamise kokkuleppe lubamine (vaikimisi lubatud).
Allikas: opennet.ru
