Yra OpenSSL kriptografinės bibliotekos 1.1.1k techninės priežiūros leidimas, kuris pašalina du pažeidžiamumus, kuriems priskirtas aukštas sunkumo lygis:
- CVE-2021-3450 – Sertifikato institucijos sertifikato patikrinimą galima apeiti, kai įjungta vėliavėlė X509_V_FLAG_X509_STRICT, kuri pagal numatytuosius nustatymus yra išjungta ir naudojama papildomai patikrinti, ar grandinėje yra sertifikatų. Problema buvo įvesta OpenSSL 1.1.1h įdiegus naują patikrinimą, kuris draudžia naudoti sertifikatus grandinėje, kuri aiškiai koduoja elipsės kreivės parametrus.
Dėl kodo klaidos naujas patikrinimas viršijo anksčiau atlikto patikrinimo dėl sertifikavimo institucijos sertifikato teisingumo rezultatą. Todėl sertifikatai, patvirtinti savarankiškai pasirašytu sertifikatu, kuris nėra susietas pasitikėjimo grandine su sertifikavimo institucija, buvo traktuojami kaip visiškai patikimi. Pažeidžiamumas nerodomas, jei nustatytas parametras „purpose“, kuris pagal numatytuosius nustatymus nustatytas kliento ir serverio sertifikato tikrinimo procedūrose libssl (naudojamas TLS).
- CVE-2021-3449 – TLS serverio gedimą galima sukelti klientui, siunčiančiam specialiai sukurtą ClientHello pranešimą. Problema susijusi su NULL rodyklės nuorodomis diegiant plėtinį signature_algorithms. Problema kyla tik serveriuose, kurie palaiko TLSv1.2 ir įgalina pakartotinį ryšį (įjungta pagal numatytuosius nustatymus).
Šaltinis: opennet.ru