OpenSSL 暗号化ライブラリ 1.1.1k のメンテナンス リリースが利用可能です。これにより、高い重大度レベルが割り当てられている XNUMX つの脆弱性が修正されます。
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT フラグが有効な場合、認証局証明書の検証をバイパスすることができます。このフラグはデフォルトで無効になっており、チェーン内の証明書の存在をさらに確認するために使用されます。 この問題は、楕円曲線パラメーターを明示的にエンコードするチェーン内の証明書の使用を禁止する新しいチェックの OpenSSL 1.1.1h の実装で発生しました。
コード内のエラーにより、新しいチェックにより、証明機関の証明書の正確性について以前に実行されたチェックの結果が上書きされました。 その結果、認証局との信頼チェーンによってリンクされていない自己署名証明書によって認証された証明書は、完全に信頼できるものとして扱われました。 「目的」パラメータが設定されている場合、この脆弱性は発生しません。このパラメータは、libssl (TLS に使用) のクライアントおよびサーバーの証明書検証手順でデフォルトで設定されています。
- CVE-2021-3449 – 特別に作成された ClientHello メッセージを送信するクライアントを介して TLS サーバーがクラッシュする可能性があります。 この問題は、signature_algorithms 拡張機能の実装における NULL ポインター逆参照に関連しています。 この問題は、TLSv1.2 をサポートし、接続の再ネゴシエーションが有効になっている (デフォルトで有効になっている) サーバーでのみ発生します。
出所: オープンネット.ru