Rilis pangopènan perpustakaan kriptografi OpenSSL 1.1.1k kasedhiya, sing mbenerake rong kerentanan sing diwenehi tingkat keruwetan dhuwur:
- CVE-2021-3450 - Sampeyan bisa ngliwati verifikasi sertifikat panguwasa sertifikat nalika flag X509_V_FLAG_X509_STRICT diaktifake, sing dipateni kanthi standar lan digunakake kanggo mriksa tambahan sertifikat ing rantai kasebut. Masalah iki ngenalaken ing OpenSSL 1.1.1h kang implementasine saka mriksa anyar sing nglarang nggunakake sertifikat ing chain sing eksplisit encode paramèter kurva elips.
Amarga kesalahan ing kode, mriksa anyar overrode asil mriksa sadurunge dileksanakake kanggo bener sertifikat wewenang sertifikasi. AkibatΓ©, sertifikat sing disertifikasi dening sertifikat sing ditandatangani dhewe, sing ora ana hubungane karo rantai kepercayaan menyang otoritas sertifikasi, dianggep bisa dipercaya. Kerentanan ora katon yen parameter "tujuan" disetel, sing disetel kanthi standar ing prosedur verifikasi sertifikat klien lan server ing libssl (digunakake kanggo TLS).
- CVE-2021-3449 - Bisa nyebabake kacilakan server TLS liwat klien sing ngirim pesen ClientHello sing digawe khusus. Masalah kasebut ana gandhengane karo dereference pointer NULL ing implementasine extension signature_algorithm. Masalah kasebut mung ana ing server sing ndhukung TLSv1.2 lan ngaktifake negosiasi ulang sambungan (diaktifake kanthi standar).
Source: opennet.ru