Ir pieejams OpenSSL kriptogrāfijas bibliotēkas 1.1.1k uzturēšanas laidiens, kas novērš divas ievainojamības, kurām ir piešķirts augsts nopietnības līmenis:
- CVE-2021-3450 — ir iespējams apiet sertifikācijas iestādes sertifikāta verifikāciju, ja ir iespējots karogs X509_V_FLAG_X509_STRICT, kas pēc noklusējuma ir atspējots un tiek izmantots, lai papildus pārbaudītu sertifikātu klātbūtni ķēdē. Problēma tika ieviesta, OpenSSL 1.1.1h ieviešot jaunu pārbaudi, kas aizliedz izmantot sertifikātus ķēdē, kas skaidri kodē eliptiskās līknes parametrus.
Koda kļūdas dēļ jaunā pārbaude pārspēja iepriekš veiktās sertifikācijas iestādes sertifikāta pareizības pārbaudes rezultātu. Rezultātā sertifikāti, kas sertificēti ar pašparakstītu sertifikātu, kas nav saistīts ar uzticības ķēdi ar sertifikācijas iestādi, tika uzskatīti par pilnībā uzticamiem. Ievainojamība neparādās, ja ir iestatīts parametrs “purpose”, kas pēc noklusējuma ir iestatīts klienta un servera sertifikāta verifikācijas procedūrās libssl (izmanto TLS).
- CVE-2021-3449 — var izraisīt TLS servera avāriju, ja klients nosūta īpaši izstrādātu ClientHello ziņojumu. Problēma ir saistīta ar NULL rādītāja atsauci paraksta_algoritmi paplašinājuma ieviešanā. Problēma rodas tikai serveros, kas atbalsta TLSv1.2 un iespējo savienojuma atkārtotu pārrunu (iespējota pēc noklusējuma).
Avots: opennet.ru