OpenSSL криптографиялык китепканасынын 1.1.1k техникалык тейлөө релизи бар, ал жогорку деңгээлдеги эки кемчиликти оңдойт:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT желеги күйгүзүлгөндө, тастыктама органынын тастыктамасын текшерүүнү айланып өтүүгө болот, ал демейки боюнча өчүрүлгөн жана чынжырда сертификаттардын бар экендигин кошумча текшерүү үчүн колдонулат. Маселе OpenSSL 1.1.1h жаңы текшерүүнү ишке ашырууда киргизилген, ал эллиптикалык ийри сызыктардын параметрлерин ачык коддогон чынжырда сертификаттарды колдонууга тыюу салган.
Коддогу катадан улам жаңы текшерүү күбөлөндүрүүчү органдын сертификатынын тууралыгы үчүн мурда жүргүзүлгөн текшерүүнүн жыйынтыгын жокко чыгарды. Жыйынтыгында сертификациялык борбор менен ишеним чынжырчасы менен байланышпаган, өз алдынча кол коюлган сертификат менен күбөлөндүрүлгөн сертификаттар толук ишеничтүү деп эсептелген. Эгерде libsslде (TLS үчүн колдонулат) кардар жана сервер сертификатын текшерүү процедураларында демейки боюнча коюлган "максат" параметри коюлса, аялуу пайда болбойт.
- CVE-2021-3449 – Атайын иштелип чыккан ClientHello билдирүүсүн жөнөткөн кардар аркылуу TLS серверинин бузулушуна себеп болушу мүмкүн. Маселе signature_algorithms кеңейтүүсүн ишке ашырууда NULL көрсөткүчүнүн баш тартуусуна байланыштуу. Маселе TLSv1.2 колдогон жана туташууну кайра сүйлөшүүнү иштеткен серверлерде гана пайда болот (демейки боюнча иштетилген).
Source: opennet.ru