OpenSSL криптограф номын сангийн 1.1.1k засвар үйлчилгээний хувилбар гарсан бөгөөд энэ нь ноцтой байдлын өндөр түвшний хоёр эмзэг байдлыг засдаг:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT тугийг идэвхжүүлсэн үед гэрчилгээний эрх бүхий гэрчилгээний баталгаажуулалтыг алгасах боломжтой бөгөөд энэ нь анхдагчаар идэвхгүй бөгөөд хэлхээнд гэрчилгээ байгаа эсэхийг нэмэлт шалгахад ашиглагддаг. Асуудлыг OpenSSL 1.1.1h-ийн зууван муруй параметрүүдийг тодорхой кодлодог гинжин хэлхээнд гэрчилгээ ашиглахыг хориглосон шинэ шалгалтыг хэрэгжүүлэхэд танилцуулсан.
Кодын алдааны улмаас шинэ шалгалт нь баталгаажуулалтын байгууллагын гэрчилгээний зөв эсэхийг өмнө нь хийсэн шалгалтын үр дүнг давсан. Үүний үр дүнд баталгаажуулалтын байгууллагатай итгэлцлийн сүлжээгээр холбогдоогүй, өөрөө гарын үсэг зурсан гэрчилгээгээр баталгаажсан гэрчилгээг бүрэн найдвартай гэж үзсэн. libssl (TLS-д ашигладаг) дахь клиент болон серверийн гэрчилгээг шалгах журамд анхдагчаар тохируулсан "зорилго" параметрийг тохируулсан тохиолдолд эмзэг байдал гарч ирэхгүй.
- CVE-2021-3449 – Тусгайлан боловсруулсан ClientHello мессежийг илгээж буй үйлчлүүлэгчээр дамжуулан TLS сервер гацах боломжтой. Асуудал нь signature_algorithms өргөтгөлийг хэрэгжүүлэхэд NULL заагч заагчтай холбоотой юм. Асуудал нь зөвхөн TLSv1.2-г дэмждэг серверүүд дээр гарч, холболтын дахин хэлэлцээрийг идэвхжүүлдэг (анхдагчаар идэвхжүүлсэн).
Эх сурвалж: opennet.ru