Aggiornamento OpenSSL 1.1.1k con la correzione di due vulnerabilità critiche

È disponibile un rilascio correttivo della libreria crittografica OpenSSL 1.1.1k, che risolve due vulnerabilità classificate come ad alta pericolosità:

  • CVE-2021-3450 — possibilità di eludere il controllo del certificato dell'autorità di certificazione quando è attivato il flag X509_V_FLAG_X509_STRICT, che è disattivato per impostazione predefinita e viene utilizzato per un controllo aggiuntivo della presenza dei certificati nella catena. Il problema è stato introdotto in una nuova verifica implementata in OpenSSL 1.1.1h, che vieta l'uso di certificati nella catena che codificano esplicitamente i parametri della curva ellittica.

    A causa di un errore nel codice, una nuova verifica sovrascriveva il risultato di una precedente verifica della validità del certificato dell'autorità di certificazione. Di conseguenza, i certificati firmati con un certificato autofirmato, che non era collegato a una catena di fiducia con l'autorità di certificazione, venivano trattati come completamente fidati. La vulnerabilità non si manifesta se il parametro "purpose" è impostato, che è predefinito nelle procedure di verifica dei certificati client e server in libssl (utilizzato per TLS).

  • CVE-2021-3449 — possibilità di causare un crash server TLS tramite l'invio da parte del client di un messaggio ClientHello appositamente formattato. Il problema è legato al dereferenziazione di un puntatore NULL nell'implementazione dell'estensione signature_algorithms. Il problema si manifesta solo su server con supporto TLSv1.2 e con la riconfigurazione della connessione abilitata (attivata per impostazione predefinita).

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster