OpenSSL криптографиялық кітапханасының 1.1.1k техникалық қызмет көрсету шығарылымы қол жетімді, ол жоғары ауырлық дәрежесі тағайындалған екі осалдықты түзетеді:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT жалауы қосылған кезде сертификаттау органының сертификатын тексеруді айналып өтуге болады, ол әдепкі бойынша өшіріледі және тізбекте сертификаттардың болуын қосымша тексеру үшін пайдаланылады. Мәселе OpenSSL 1.1.1h нұсқасының эллиптикалық қисық параметрлерін нақты кодтайтын тізбекте сертификаттарды пайдалануға тыйым салатын жаңа тексеруді жүзеге асыруында енгізілді.
Кодтағы қатеге байланысты жаңа тексеру куәландырушы орталық куәлігінің дұрыстығына бұрын жүргізілген тексерудің нәтижесін жоққа шығарды. Нәтижесінде, сертификаттау орталығымен сенім тізбегі арқылы байланыспаған, өздігінен қол қойылған сертификатпен куәландырылған сертификаттар толық сенімді болып саналды. libssl (TLS үшін пайдаланылады) ішінде клиент пен сервер сертификатын тексеру процедураларында әдепкі бойынша орнатылатын «мақсат» параметрі орнатылған болса, осалдық пайда болмайды.
- CVE-2021-3449 – Арнайы жасалған ClientHello хабарын жіберетін клиент арқылы TLS серверінің бұзылуына әкелуі мүмкін. Мәселе signature_algorithms кеңейтімін жүзеге асырудағы NULL көрсеткішті жоюға қатысты. Мәселе тек TLSv1.2 қолдайтын және қосылымды қайта келісуді қосатын серверлерде орын алады (әдепкі бойынша қосылған).
Ақпарат көзі: opennet.ru