ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบญเบฑเบšเป€เบ”เบ” OpenSSL 1.1.1k เบžเป‰เบญเบกเปเบเป‰เป„เบ‚เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบชเบญเบ‡เบญเบฑเบ™

เบญเบฑเบšเป€เบ”เบ” OpenSSL 1.1.1k เบžเป‰เบญเบกเปเบเป‰เป„เบ‚เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบชเบญเบ‡เบญเบฑเบ™

เบกเบตเบเบฒเบ™เบ›เปˆเบญเบเบเบฒเบ™เบšเบณเบฅเบธเบ‡เบฎเบฑเบเบชเบฒเบ‚เบญเบ‡เบซเป‰เบญเบ‡เบชเบฐเปเบธเบ”เบฅเบฐเบซเบฑเบ”เบฅเบฑเบš OpenSSL 1.1.1k, เป€เบŠเบดเปˆเบ‡เปเบเป‰เป„เบ‚เบชเบญเบ‡เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบ–เบทเบเบกเบญเบšเปเบฒเบเปƒเบซเป‰เบขเบนเปˆเปƒเบ™เบฅเบฐเบ”เบฑเบšเบ„เบงเบฒเบกเบฎเป‰เบฒเบเปเบฎเบ‡เบชเบนเบ‡:

  • CVE-2021-3450 - เบกเบฑเบ™เป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ—เบตเปˆเบˆเบฐเบ‚เป‰เบฒเบกเบœเปˆเบฒเบ™เบเบฒเบ™เบเบงเบ”เบชเบญเบšเปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เบชเบดเบ”เบญเปเบฒเบ™เบฒเบ”เป€เบกเบทเปˆเบญเบ—เบธเบ‡ X509_V_FLAG_X509_STRICT เบ–เบทเบเป€เบ›เบตเบ”เปƒเบŠเป‰, เป€เบŠเบดเปˆเบ‡เบ–เบทเบเบ›เบดเบ”เปƒเบŠเป‰เบ‡เบฒเบ™เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เปเบฅเบฐเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญเบเบงเบ”เบเบฒเป€เบšเบดเปˆเบ‡เบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เปƒเบ™เบฅเบฐเบšเบปเบšเบ•เปˆเบญเบ‡เป‚เบชเป‰เป€เบžเบตเปˆเบกเป€เบ•เบตเบก. เบšเบฑเบ™เบซเบฒเป„เบ”เป‰เบ–เบทเบเบ™เปเบฒเบชเบฐเป€เบซเบ™เบตเปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ‚เบญเบ‡ OpenSSL 1.1.1h เบ‚เบญเบ‡เบเบฒเบ™เบเบงเบ”เบชเบญเบšเปƒเบซเบกเปˆเบ—เบตเปˆเบซเป‰เบฒเบกเบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เปƒเบ™เบฅเบฐเบšเบปเบšเบ•เปˆเบญเบ‡เป‚เบชเป‰เบ—เบตเปˆเบฅเบฐเบซเบฑเบ”เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เป€เบชเบฑเป‰เบ™เป‚เบ„เป‰เบ‡ elliptic เบขเปˆเบฒเบ‡เบŠเบฑเบ”เป€เบˆเบ™.

    เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบ„เบงเบฒเบกเบœเบดเบ”เบžเบฒเบ”เปƒเบ™เบฅเบฐเบซเบฑเบ”, เบเบฒเบ™เบเบงเบ”เบชเบญเบšเปƒเบซเบกเปˆ overrode เบœเบปเบ™เบ‚เบญเบ‡เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบ—เบตเปˆเบ›เบฐเบ•เบดเบšเบฑเบ”เบเปˆเบญเบ™เบซเบ™เป‰เบฒเบ™เบตเป‰เบชเปเบฒเบฅเบฑเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡เบ‚เบญเบ‡เปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เบเบฒเบ™เบขเบฑเป‰เบ‡เบขเบทเบ™. เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™, เปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เบ—เบตเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบขเบฑเป‰เบ‡เบขเบทเบ™เป‚เบ”เบเปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เบเบฒเบ™เบฅเบปเบ‡เบ™เบฒเบกเบ”เป‰เบงเบเบ•เบปเบ™เป€เบญเบ‡, เป€เบŠเบดเปˆเบ‡เบšเปเปˆเป„เบ”เป‰เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเป‚เบ”เบเบฅเบฐเบšเบปเบšเบ•เปˆเบญเบ‡เป‚เบชเป‰เบ„เบงเบฒเบกเป„เบงเป‰เบงเบฒเบ‡เปƒเบˆเบเบฑเบšเป€เบˆเบปเป‰เบฒเบซเบ™เป‰เบฒเบ—เบตเปˆเบเบฒเบ™เบขเบฑเป‰เบ‡เบขเบทเบ™, เบ–เบทเบงเปˆเบฒเบกเบตเบ„เบงเบฒเบกเบซเบ™เป‰เบฒเป€เบŠเบทเปˆเบญเบ–เบทเบขเปˆเบฒเบ‡เป€เบ•เบฑเบกเบ—เบตเปˆ. เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบšเปเปˆเบ›เบฒเบเบปเบ”เบ–เป‰เบฒเบžเบฒเบฅเบฒเบกเบดเป€เบ•เบต "เบˆเบธเบ”เบ›เบฐเบชเบปเบ‡" เบ–เบทเบเบเปเบฒเบ™เบปเบ”, เป€เบŠเบดเปˆเบ‡เบ–เบทเบเบเปเบฒเบ™เบปเบ”เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เปƒเบ™เบ‚เบฑเป‰เบ™เบ•เบญเบ™เบเบฒเบ™เบเบงเบ”เบชเบญเบšเปƒเบšเบขเบฑเป‰เบ‡เบขเบทเบ™เบฅเบนเบเบ„เป‰เบฒเปเบฅเบฐเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเปƒเบ™ libssl (เปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบš TLS).

  • CVE-2021-3449 โ€“ เบกเบฑเบ™เป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ—เบตเปˆเบˆเบฐเป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบŠเบตเบšเป€เบงเบต TLS เบ‚เบฑเบ”เบ‚เป‰เบญเบ‡เบœเปˆเบฒเบ™เบฅเบนเบเบ„เป‰เบฒเบ—เบตเปˆเบชเบปเปˆเบ‡เบ‚เปเป‰เบ„เบงเบฒเบก ClientHello เบ—เบตเปˆเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐ. เบšเบฑเบ™เบซเบฒเปเบกเปˆเบ™เบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบš NULL pointer dereference เปƒเบ™เบเบฒเบ™เบˆเบฑเบ”เบ•เบฑเป‰เบ‡เบ›เบฐเบ•เบดเบšเบฑเบ”เบชเปˆเบงเบ™เบ‚เบฐเบซเบเบฒเบ signature_algorithms. เบšเบฑเบ™เบซเบฒเป€เบเบตเบ”เบ‚เบถเป‰เบ™เปƒเบ™เป€เบŠเบตเบšเป€เบงเบตเบ—เบตเปˆเบฎเบญเบ‡เบฎเบฑเบš TLSv1.2 เป€เบ—เบปเปˆเบฒเบ™เบฑเป‰เบ™ เปเบฅเบฐเป€เบ›เบตเบ”เปƒเบŠเป‰เบเบฒเบ™เป€เบˆเบฅเบฐเบˆเบฒเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบ„เบทเบ™เปƒเปเปˆ (เบ–เบทเบเป€เบ›เบตเบ”เปƒเบŠเป‰เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™).

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™