Er is een onderhoudsrelease van de OpenSSL cryptografische bibliotheek 1.1.1k beschikbaar, die twee kwetsbaarheden verhelpt waaraan een hoog ernstniveau is toegewezen:
- CVE-2021-3450 - Het is mogelijk om de verificatie van een certificaat van een certificeringsinstantie te omzeilen wanneer de vlag X509_V_FLAG_X509_STRICT is ingeschakeld. Deze is standaard uitgeschakeld en wordt gebruikt om bovendien de aanwezigheid van certificaten in de keten te controleren. Het probleem werd geïntroduceerd bij de implementatie in OpenSSL 1.1.1h van een nieuwe controle die het gebruik verbiedt van certificaten in een keten die expliciet elliptische curveparameters coderen.
Door een fout in de code overtrof de nieuwe controle het resultaat van een eerder uitgevoerde controle op de juistheid van het certificaat van de certificeringsinstantie. Als gevolg hiervan werden certificaten die zijn gecertificeerd door een zelfondertekend certificaat, dat niet via een vertrouwensketen aan een certificeringsinstantie is gekoppeld, als volledig betrouwbaar behandeld. Het beveiligingslek treedt niet op als de parameter ‘purpose’ is ingesteld, die standaard wordt ingesteld in de verificatieprocedures voor client- en servercertificaten in libssl (gebruikt voor TLS).
- CVE-2021-3449 – Het is mogelijk om een TLS-servercrash te veroorzaken doordat een client een speciaal vervaardigd ClientHello-bericht verzendt. Het probleem houdt verband met NULL pointer-dereferentie bij de implementatie van de extensie signature_algorithms. Het probleem doet zich alleen voor op servers die TLSv1.2 ondersteunen en het opnieuw onderhandelen van verbindingen inschakelen (standaard ingeschakeld).
Bron: opennet.ru