È disponibile una versione di manutenzione della libreria crittografica OpenSSL 1.1.1k, che risolve due vulnerabilità a cui è assegnato un livello di gravità elevato:
- CVE-2021-3450 - È possibile ignorare la verifica di un certificato di un'autorità di certificazione quando è abilitato il flag X509_V_FLAG_X509_STRICT, che è disabilitato per impostazione predefinita e viene utilizzato per verificare inoltre la presenza di certificati nella catena. Il problema è stato introdotto nell'implementazione di OpenSSL 1.1.1h di un nuovo controllo che proibisce l'uso di certificati in una catena che codificano esplicitamente i parametri della curva ellittica.
A causa di un errore nel codice, il nuovo controllo ha sovrascritto il risultato di un controllo precedentemente eseguito sulla correttezza del certificato dell'autorità di certificazione. Di conseguenza, i certificati certificati da un certificato autofirmato, che non è collegato da una catena di fiducia a un'autorità di certificazione, sono stati trattati come pienamente affidabili. La vulnerabilità non compare se è impostato il parametro “scopo”, che è impostato di default nelle procedure di verifica dei certificati client e server in libssl (utilizzato per TLS).
- CVE-2021-3449 – È possibile causare un arresto anomalo del server TLS tramite un client che invia un messaggio ClientHello appositamente predisposto. Il problema è legato al dereferenziamento del puntatore NULL nell'implementazione dell'estensione Signature_algorithms. Il problema si verifica solo sui server che supportano TLSv1.2 e abilitano la rinegoziazione della connessione (abilitata per impostazione predefinita).
Fonte: opennet.ru