Dostępna jest wersja konserwacyjna biblioteki kryptograficznej OpenSSL 1.1.1k, która naprawia dwie luki o wysokim poziomie ważności:
- CVE-2021-3450 - Istnieje możliwość ominięcia weryfikacji certyfikatu urzędu certyfikacji, gdy włączona jest flaga X509_V_FLAG_X509_STRICT, która domyślnie jest wyłączona i służy do dodatkowego sprawdzania obecności certyfikatów w łańcuchu. Problem pojawił się podczas implementacji w OpenSSL 1.1.1h nowej kontroli, która zabrania używania certyfikatów w łańcuchu, który jawnie koduje parametry krzywej eliptycznej.
Nowe sprawdzenie ze względu na błąd w kodzie zastępuje wynik wcześniej wykonanego sprawdzenia poprawności certyfikatu urzędu certyfikacji. W rezultacie certyfikaty certyfikowane certyfikatem z podpisem własnym, który nie jest powiązany łańcuchem zaufania z urzędem certyfikacji, były traktowane jako w pełni godne zaufania. Luka nie pojawia się, jeśli ustawiony jest parametr „cel”, który jest ustawiony domyślnie w procedurach weryfikacji certyfikatu klienta i serwera w libssl (używanej dla TLS).
- CVE-2021-3449 – Istnieje możliwość spowodowania awarii serwera TLS poprzez wysłanie przez klienta specjalnie spreparowanej wiadomości ClientHello. Problem jest związany z dereferencją wskaźnika NULL w implementacji rozszerzenia podpis_algorithms. Problem występuje tylko na serwerach obsługujących protokół TLSv1.2 i umożliwiających renegocjację połączenia (domyślnie włączona).
Źródło: opennet.ru