En vedlikeholdsutgivelse av OpenSSL kryptografisk bibliotek 1.1.1k er tilgjengelig, som fikser to sårbarheter som er tildelt et høyt alvorlighetsnivå:
- CVE-2021-3450 - Det er mulig å omgå verifiseringen av et sertifiseringsinstanssertifikat når X509_V_FLAG_X509_STRICT-flagget er aktivert, som er deaktivert som standard og brukes til å i tillegg sjekke tilstedeværelsen av sertifikater i kjeden. Problemet ble introdusert i OpenSSL 1.1.1hs implementering av en ny sjekk som forbyr bruk av sertifikater i en kjede som eksplisitt koder for elliptiske kurveparametere.
På grunn av en feil i koden, overstyrte den nye kontrollen resultatet av en tidligere utført kontroll for riktigheten av sertifiseringsinstanssertifikatet. Som et resultat av dette ble sertifikater sertifisert av et selvsignert sertifikat, som ikke er koblet av en tillitskjede til en sertifiseringsmyndighet, behandlet som fullt ut pålitelige. Sårbarheten vises ikke hvis "purpose"-parameteren er satt, som er satt som standard i klient- og serversertifikatverifiseringsprosedyrene i libssl (brukt for TLS).
- CVE-2021-3449 – Det er mulig å forårsake en TLS-serverkrasj via en klient som sender en spesiallaget ClientHello-melding. Problemet er relatert til NULL-pekerdereference i implementeringen av signatur_algorithms-utvidelsen. Problemet oppstår bare på servere som støtter TLSv1.2 og aktiverer tilkoblingsreforhandling (aktivert som standard).
Kilde: opennet.ru