Достапно е издание за одржување на OpenSSL криптографската библиотека 1.1.1k, кое поправа две пропусти на кои им е доделено високо ниво на сериозност:
- CVE-2021-3450 - Можно е да се заобиколи верификацијата на сертификатот на органот за сертификати кога е овозможено знамето X509_V_FLAG_X509_STRICT, кое стандардно е оневозможено и се користи за дополнително да се провери присуството на сертификати во ланецот. Проблемот беше воведен во имплементацијата на OpenSSL 1.1.1h на нова проверка која забранува употреба на сертификати во синџир што експлицитно ги кодираат параметрите на елипсовидна крива.
Поради грешка во кодот, новата проверка го поништи резултатот од претходно извршената проверка за исправноста на сертификатот на органот за сертификација. Како резултат на тоа, сертификатите заверени со самопотпишан сертификат, кој не е поврзан со синџир на доверба со орган за сертификација, беа третирани како целосно доверливи. Ранливоста не се појавува ако е поставен параметарот „цел“, кој е стандардно поставен во процедурите за верификација на сертификатот на клиентот и серверот во libssl (се користи за TLS).
- CVE-2021-3449 – Можно е да се предизвика пад на серверот TLS преку клиент кој испраќа специјално изработена порака ClientHello. Прашањето е поврзано со дереференција на покажувачот NULL во имплементацијата на екстензијата signature_algorithms. Проблемот се јавува само на сервери кои поддржуваат TLSv1.2 и овозможуваат повторно преговарање конекција (стандардно овозможено).
Извор: opennet.ru