نسخه تعمیر و نگهداری کتابخانه رمزنگاری OpenSSL 1.1.1k در دسترس است که دو آسیبپذیری را برطرف میکند که سطح شدت بالایی دارند:
- CVE-2021-3450 - هنگامی که پرچم X509_V_FLAG_X509_STRICT فعال است، امکان دور زدن تأیید گواهی مرجع گواهی وجود دارد که به طور پیش فرض غیرفعال است و برای بررسی اضافی وجود گواهی ها در زنجیره استفاده می شود. این مشکل در اجرای یک بررسی جدید توسط OpenSSL 1.1.1h معرفی شد که استفاده از گواهینامه ها را در زنجیره ای که به صراحت پارامترهای منحنی بیضوی را رمزگذاری می کند، ممنوع می کند.
به دلیل خطا در کد، چک جدید نتیجه بررسی قبلی انجام شده برای صحت گواهی مرجع صدور گواهی را لغو کرد. در نتیجه، گواهیهایی که توسط یک گواهی خودامضا تأیید شدهاند، که توسط زنجیرهای از اعتماد به مرجع صدور گواهینامه مرتبط نیست، کاملاً قابل اعتماد تلقی میشوند. اگر پارامتر "هدف" تنظیم شده باشد، آسیب پذیری ظاهر نمی شود، که به طور پیش فرض در رویه های تأیید گواهی مشتری و سرور در libssl (برای TLS استفاده می شود) تنظیم شده است.
- CVE-2021-3449 - ممکن است از طریق یک کلاینت که پیام ClientHello ساخته شده ویژه ای را ارسال می کند، باعث خرابی سرور TLS شود. موضوع مربوط به عدم ارجاع اشاره گر NULL در اجرای پسوند signature_algorithms است. این مشکل فقط در سرورهایی رخ می دهد که از TLSv1.2 پشتیبانی می کنند و مذاکره مجدد اتصال را فعال می کنند (به طور پیش فرض فعال است).
منبع: opennet.ru