Elérhető az OpenSSL kriptográfiai könyvtár 1.1.1k karbantartási kiadása, amely két, magas súlyosságú biztonsági rést javít ki:
- CVE-2021-3450 - Lehetőség van a tanúsító hatósági tanúsítvány ellenőrzésének megkerülésére, ha az X509_V_FLAG_X509_STRICT jelző engedélyezve van, amely alapértelmezés szerint le van tiltva, és a tanúsítványok láncban való jelenlétének további ellenőrzésére szolgál. A probléma az OpenSSL 1.1.1h új ellenőrzésének megvalósításában jelent meg, amely megtiltja a tanúsítványok használatát egy olyan láncban, amely kifejezetten elliptikus görbe paramétereit kódolja.
A kód hibája miatt az új ellenőrzés felülírta a hitelesítő hatóság tanúsítványának helyességére korábban elvégzett ellenőrzés eredményét. Ennek eredményeként az önaláírt tanúsítvánnyal hitelesített tanúsítványokat, amelyeket nem köt össze bizalmi lánc a hitelesítésszolgáltatóval, teljes mértékben megbízhatónak tekintették. A biztonsági rés nem jelenik meg, ha be van állítva a „purpose” paraméter, amely alapértelmezés szerint be van állítva a libssl (TLS-hez használt) kliens és kiszolgáló tanúsítvány-ellenőrzési eljárásaiban.
- CVE-2021-3449 – A TLS-kiszolgáló összeomlását okozhatja egy speciálisan kialakított ClientHello üzenet küldése. A probléma a signature_algorithms bővítmény megvalósításában a NULL mutató hivatkozási hivatkozásával kapcsolatos. A probléma csak azokon a kiszolgálókon jelentkezik, amelyek támogatják a TLSv1.2-t és engedélyezik a kapcsolat újratárgyalását (alapértelmezés szerint engedélyezve van).
Forrás: opennet.ru