OpenSSL 1.1.1k liburutegi kriptografikoaren mantentze-oharra eskuragarri dago, larritasun maila altua esleitzen zaien bi ahultasun konpontzen dituena:
- CVE-2021-3450 - Autoritate ziurtagiri-emailearen ziurtagiriaren egiaztapena saihestu daiteke X509_V_FLAG_X509_STRICT bandera gaituta dagoenean, lehenespenez desgaituta dagoena eta katean ziurtagiriak dauden egiaztatzeko erabiltzen dena. Arazoa OpenSSL 1.1.1h-k kurba eliptikoen parametroak esplizituki kodetzen dituen kate batean ziurtagiriak erabiltzea debekatzen duen egiaztapen berri baten ezarpenean sartu zen.
Kodearen errore bat dela eta, egiaztapen berriak aurretik egindako egiaztapen baten emaitza gainditzen du ziurtagiri-agintaritzaren ziurtagiriaren zuzentasunari buruz. Ondorioz, autosinatutako ziurtagiri baten bidez ziurtatutako ziurtagiriak, konfiantzazko kate batek ziurtapen-agintari bati lotuta ez daudenak, guztiz fidagarritzat jo ziren. Ahultasuna ez da agertzen "helburua" parametroa ezarrita badago, eta hori lehenespenez ezarrita dago libssl-n bezero eta zerbitzariaren ziurtagiriak egiaztatzeko prozeduretan (TLS-erako erabiltzen da).
- CVE-2021-3449 - Posible da TLS zerbitzariaren hutsegite bat eragitea bezero baten bidez, bereziki landutako ClientHello mezu bat bidaliz. Arazoa NULL erakuslearen deserreferentziarekin lotuta dago signature_algorithms luzapenaren ezarpenean. Arazoa TLSv1.2 onartzen duten eta konexioaren birnegoziazioa gaitzen duten zerbitzarietan bakarrik gertatzen da (lehenespenez gaituta).
Iturria: opennet.ru