Rilis pemeliharaan perpustakaan kriptografi OpenSSL 1.1.1k tersedia, yang memperbaiki dua kerentanan yang ditetapkan pada tingkat keparahan tinggi:
- CVE-2021-3450 - Dimungkinkan untuk melewati verifikasi sertifikat otoritas sertifikat ketika tanda X509_V_FLAG_X509_STRICT diaktifkan, yang dinonaktifkan secara default dan digunakan untuk memeriksa tambahan keberadaan sertifikat dalam rantai. Masalah ini muncul dalam implementasi pemeriksaan baru OpenSSL 1.1.1h yang melarang penggunaan sertifikat dalam rantai yang secara eksplisit menyandikan parameter kurva elips.
Karena kesalahan kode, pemeriksaan baru mengesampingkan hasil pemeriksaan yang dilakukan sebelumnya atas kebenaran sertifikat lembaga sertifikasi. Akibatnya, sertifikat yang disertifikasi oleh sertifikat yang ditandatangani sendiri, yang tidak dihubungkan oleh rantai kepercayaan dengan otoritas sertifikasi, dianggap dapat dipercaya sepenuhnya. Kerentanan tidak muncul jika parameter βtujuanβ ditetapkan, yang ditetapkan secara default dalam prosedur verifikasi sertifikat klien dan server di libssl (digunakan untuk TLS).
- CVE-2021-3449 β Server TLS mungkin mengalami crash melalui klien yang mengirimkan pesan ClientHello yang dibuat khusus. Masalah ini terkait dengan dereferensi penunjuk NULL dalam implementasi ekstensi Signature_algorithms. Masalah ini hanya terjadi pada server yang mendukung TLSv1.2 dan mengaktifkan negosiasi ulang koneksi (diaktifkan secara default).
Sumber: opennet.ru