Une version de maintenance de la bibliothèque cryptographique OpenSSL 1.1.1k est disponible, qui corrige deux vulnérabilités affectées d'un niveau de gravité élevé :
- CVE-2021-3450 - Il est possible de contourner la vérification d'un certificat d'autorité de certification lorsque l'indicateur X509_V_FLAG_X509_STRICT est activé, qui est désactivé par défaut et est utilisé pour vérifier en plus la présence de certificats dans la chaîne. Le problème a été introduit dans l'implémentation par OpenSSL 1.1.1h d'un nouveau contrôle qui interdit l'utilisation de certificats dans une chaîne codant explicitement les paramètres de courbe elliptique.
En raison d'une erreur dans le code, le nouveau contrôle a annulé le résultat d'un contrôle effectué précédemment concernant l'exactitude du certificat de l'autorité de certification. En conséquence, les certificats certifiés par un certificat auto-signé, qui n'est pas lié par une chaîne de confiance à une autorité de certification, ont été traités comme entièrement fiables. La vulnérabilité n'apparaît pas si le paramètre « goal » est défini, qui est défini par défaut dans les procédures de vérification des certificats client et serveur dans libssl (utilisé pour TLS).
- CVE-2021-3449 – Il est possible de provoquer un crash du serveur TLS via un client envoyant un message ClientHello spécialement conçu. Le problème est lié au déréférencement du pointeur NULL dans l’implémentation de l’extension signature_algorithms. Le problème se produit uniquement sur les serveurs prenant en charge TLSv1.2 et permettant la renégociation de connexion (activée par défaut).
Source: opennet.ru