Rilis patch OpenSSL 1.1.1k sekarang tersedia, memperbaiki dua kerentanan yang dinilai memiliki tingkat keparahan tinggi:
- CVE-2021-3450 — Kemungkinan bypass validasi sertifikat CA dimungkinkan ketika flag X509_V_FLAG_X509_STRICT diaktifkan. Flag ini, yang dinonaktifkan secara default dan digunakan untuk verifikasi tambahan sertifikat dalam rantai, digunakan. Masalah ini muncul dalam pemeriksaan baru yang diperkenalkan di OpenSSL 1.1.1h yang mencegah penggunaan sertifikat dalam rantai yang secara eksplisit mengodekan parameter kurva eliptik.
Akibat kesalahan kode, pemeriksaan baru tersebut menggantikan hasil pemeriksaan validasi sertifikat CA yang telah dilakukan sebelumnya. Akibatnya, sertifikat yang diautentikasi oleh sertifikat yang ditandatangani sendiri, yang tidak terhubung ke CA melalui rantai kepercayaan, dianggap sepenuhnya tepercaya. Kerentanan ini tidak muncul ketika parameter "purpose" ditetapkan, yang merupakan pengaturan default dalam rutin validasi sertifikat klien dan server di libssl (digunakan untuk TLS).
- CVE-2021-3449 – Berpotensi menyebabkan crash. server TLS melalui klien yang mengirimkan pesan ClientHello yang dirancang khusus. Masalah ini terkait dengan dereferensi pointer NULL dalam implementasi ekstensi signature_algorithms. Masalah ini hanya muncul pada server dengan dukungan TLSv1.2 dan negosiasi ulang koneksi diaktifkan (diaktifkan secara default).
Sumber: opennet.ru
