Eng Ënnerhalt Verëffentlechung vun der OpenSSL cryptographic Bibliothéik 1.1.1k ass verfügbar, déi zwee Schwachstelle fixéiert, déi en héije Schwieregkeetsniveau zougewisen ginn:
- CVE-2021-3450 - Et ass méiglech d'Verifizéierung vun engem Zertifizéierungsautoritéitszertifika ze ëmgoen wann den X509_V_FLAG_X509_STRICT Fändel aktivéiert ass, deen als Standard deaktivéiert ass a benotzt gëtt fir zousätzlech d'Präsenz vun Zertifikater an der Kette ze kontrolléieren. De Problem gouf an der Ëmsetzung vun OpenSSL 1.1.1h vun enger neier Scheck agefouert, déi d'Benotzung vun Zertifikater an enger Kette verbitt, déi explizit elliptesch Curveparameter codéieren.
Wéinst engem Feeler am Code huet den neie Scheck d'Resultat vun engem virdru gemaachten Scheck fir d'Korrektheet vum Zertifizéierungsautoritéitszertifika iwwerschratt. Als Resultat goufen Zertifikater zertifizéiert vun engem selbst ënnerschriwwenen Zertifika, deen net vun enger Vertrauenskette mat enger Zertifizéierungsautoritéit verbonnen ass, als voll vertrauenswierdeg behandelt. D'Schwachheet erschéngt net wann den "Zweck" Parameter gesat gëtt, deen als Standard an de Client- a Serverzertifikaverifizéierungsprozeduren am libssl gesat gëtt (benotzt fir TLS).
- CVE-2021-3449 - Et ass méiglech en TLS Server Crash ze verursaachen iwwer e Client deen e speziell erstallt ClientHello Message schéckt. D'Thema ass am Zesummenhang mat NULL Pointer Dereferenz an der Ëmsetzung vun der Signature_algorithms Extensioun. D'Thema geschitt nëmmen op Serveren déi TLSv1.2 ënnerstëtzen an d'Verbindungsneverhandlung aktivéieren (par défaut aktivéiert).
Source: opennet.ru