Dostupno je izdanje za održavanje OpenSSL kriptografske knjižnice 1.1.1k, koje popravlja dvije ranjivosti kojima je dodijeljena visoka razina ozbiljnosti:
- CVE-2021-3450 - Moguće je zaobići provjeru certifikata certifikatnog tijela kada je uključena zastavica X509_V_FLAG_X509_STRICT, koja je prema zadanim postavkama onemogućena i služi za dodatnu provjeru prisutnosti certifikata u lancu. Problem je uveden u OpenSSL 1.1.1h implementaciji nove provjere koja zabranjuje korištenje certifikata u lancu koji eksplicitno kodiraju parametre eliptične krivulje.
Zbog greške u kodu, nova provjera poništila je rezultat prethodno obavljene provjere ispravnosti certifikata certifikacijskog tijela. Kao rezultat toga, certifikati ovjereni samopotpisanim certifikatom, koji nije povezan lancem povjerenja s tijelom za izdavanje certifikata, tretirani su kao potpuno pouzdani. Ranjivost se ne pojavljuje ako je postavljen parametar "svrha", koji je postavljen prema zadanim postavkama u procedurama provjere certifikata klijenta i poslužitelja u libssl (koristi se za TLS).
- CVE-2021-3449 – Moguće je uzrokovati pad TLS poslužitelja putem klijenta koji šalje posebno kreiranu ClientHello poruku. Problem je povezan s dereferencijom pokazivača NULL u implementaciji proširenja signature_algorithms. Problem se javlja samo na poslužiteljima koji podržavaju TLSv1.2 i omogućuju ponovno pregovaranje veze (omogućeno prema zadanim postavkama).
Izvor: opennet.ru