Rilaxx ta' manutenzjoni tal-librerija kriptografika OpenSSL 1.1.1k hija disponibbli, li tiffissa żewġ vulnerabbiltajiet li huma assenjati livell għoli ta' severità:
- CVE-2021-3450 - Huwa possibbli li tiġi evitata l-verifika ta 'ċertifikat ta' awtorità taċ-ċertifikati meta l-bandiera X509_V_FLAG_X509_STRICT tkun attivata, li hija diżattivata awtomatikament u tintuża biex tiċċekkja wkoll il-preżenza ta 'ċertifikati fil-katina. Il-problema ġiet introdotta fl-implimentazzjoni ta 'OpenSSL 1.1.1h ta' kontroll ġdid li jipprojbixxi l-użu ta 'ċertifikati f'katina li tikkodifika b'mod espliċitu parametri tal-kurva ellittika.
Minħabba żball fil-kodiċi, il-kontroll il-ġdid qabeż ir-riżultat ta 'verifika mwettqa qabel għall-korrettezza taċ-ċertifikat tal-awtorità taċ-ċertifikazzjoni. Bħala riżultat, ċertifikati ċċertifikati minn ċertifikat iffirmat minnu nnifsu, li mhuwiex marbut b'katina ta 'fiduċja ma' awtorità ta 'ċertifikazzjoni, ġew ittrattati bħala kompletament affidabbli. Il-vulnerabbiltà ma tidhirx jekk jiġi stabbilit il-parametru "għan", li huwa stabbilit awtomatikament fil-proċeduri ta 'verifika taċ-ċertifikati tal-klijent u tas-server fil-libssl (użat għal TLS).
- CVE-2021-3449 – Huwa possibbli li tikkawża ħabta tas-server TLS permezz ta' klijent li jibgħat messaġġ ClientHello magħmul apposta. Il-kwistjoni hija relatata ma 'dereference pointer NULL fl-implimentazzjoni tal-estensjoni signature_algorithms. Il-kwistjoni sseħħ biss fuq servers li jappoġġjaw TLSv1.2 u jippermettu n-negozjar mill-ġdid tal-konnessjoni (attivat b'mod awtomatiku).
Sors: opennet.ru