La version corrective 1.1.1k d'OpenSSL est désormais disponible, corrigeant deux vulnérabilités considérées comme hautement critiques :
- CVE-2021-3450 — Une vulnérabilité permet de contourner la validation des certificats d'autorité de certification lorsque l'indicateur X509_V_FLAG_X509_STRICT est activé. Cet indicateur, désactivé par défaut et utilisé pour une vérification supplémentaire des certificats d'une chaîne, est ici employé. Ce problème a été introduit par une nouvelle vérification dans OpenSSL 1.1.1h, qui empêche l'utilisation de certificats dans une chaîne encodant explicitement les paramètres de courbe elliptique.
En raison d'une erreur de code, la nouvelle vérification a écrasé le résultat d'une vérification de validation de certificat d'autorité de certification (CA) précédemment effectuée. De ce fait, les certificats authentifiés par un certificat auto-signé, non lié à l'autorité de certification par une chaîne de confiance, ont été considérés comme parfaitement fiables. Cette vulnérabilité ne se manifeste pas lorsque le paramètre « purpose » est défini, ce qui est le cas par défaut dans les routines de validation de certificats client et serveur de libssl (utilisée pour TLS).
- CVE-2021-3449 – Possibilité de provoquer un plantage serveur TLS via le client envoyant un message ClientHello spécialement conçu. Le problème est lié à une déréférencement de pointeur NULL dans l'implémentation de l'extension signature_algorithms. Le problème ne se manifeste que dans серверах avec prise en charge de TLSv1.2 et renégociation de connexion activée (activée par défaut).
Source: opennet.ru
