두 가지 위험한 취약점에 대한 수정 사항이 포함된 OpenSSL 1.1.1k 업데이트

높은 심각도 수준이 할당된 두 가지 취약점을 수정하는 OpenSSL 암호화 라이브러리 1.1.1k의 유지 관리 릴리스가 출시되었습니다.

• CVE-2021-3450 - X509_V_FLAG_X509_STRICT 플래그가 활성화되면 인증 기관 인증서 확인을 우회할 수 있습니다. 이 플래그는 기본적으로 비활성화되어 있으며 체인에 인증서가 있는지 추가로 확인하는 데 사용됩니다. 이 문제는 타원 곡선 매개변수를 명시적으로 인코딩하는 체인에서 인증서 사용을 금지하는 OpenSSL 1.1.1h의 새로운 검사 구현에서 발생했습니다.

  코드 오류로 인해 새로운 검사가 이전에 수행한 인증 기관 인증서의 정확성 검사 결과를 재정의했습니다. 그 결과, 신뢰 체인으로 인증 기관에 연결되지 않은 자체 서명된 인증서로 인증된 인증서는 완전히 신뢰할 수 있는 것으로 간주되었습니다. libssl(TLS에 사용됨)의 클라이언트 및 서버 인증서 확인 절차에서 기본적으로 설정되는 "목적" 매개변수가 설정된 경우에는 취약점이 나타나지 않습니다.

• CVE-2021-3449 – 특별히 제작된 ClientHello 메시지를 보내는 클라이언트를 통해 TLS 서버 충돌이 발생할 수 있습니다. 이 문제는 서명_알고리즘 확장 구현의 NULL 포인터 역참조와 관련이 있습니다. 이 문제는 TLSv1.2를 지원하고 연결 재협상을 활성화하는(기본적으로 활성화됨) 서버에서만 발생합니다.

출처 : opennet.ru