Está dispoñible unha versión de mantemento da biblioteca criptográfica OpenSSL 1.1.1k, que corrixe dúas vulnerabilidades ás que se lles asigna un alto nivel de gravidade:
- CVE-2021-3450: é posible ignorar a verificación dun certificado de autoridade de certificación cando está activada a marca X509_V_FLAG_X509_STRICT, que está desactivada por defecto e úsase para comprobar adicionalmente a presenza de certificados na cadea. O problema foi introducido na implementación de OpenSSL 1.1.1h dunha nova comprobación que prohibe o uso de certificados nunha cadea que codifique explícitamente parámetros de curva elíptica.
Debido a un erro no código, a nova comprobación anulou o resultado dunha comprobación realizada previamente para a corrección do certificado da autoridade de certificación. Como resultado, os certificados certificados por un certificado autoasinado, que non está ligado por unha cadea de confianza a unha autoridade de certificación, foron tratados como totalmente fiables. A vulnerabilidade non aparece se se establece o parámetro "propósito", que está definido por defecto nos procedementos de verificación de certificados de cliente e servidor en libssl (utilizado para TLS).
- CVE-2021-3449: é posible provocar un fallo do servidor TLS a través dun cliente que envía unha mensaxe ClientHello especialmente creada. O problema está relacionado coa desreferencia do punteiro NULL na implementación da extensión signature_algorithms. O problema só se produce nos servidores que admiten TLSv1.2 e que permiten a renegociación da conexión (activada de forma predeterminada).
Fonte: opennet.ru