Está disponível uma versão de manutenção da biblioteca criptográfica OpenSSL 1.1.1k, que corrige duas vulnerabilidades às quais é atribuído um alto nível de severidade:
- CVE-2021-3450 - É possível ignorar a verificação de um certificado de autoridade certificadora quando o sinalizador X509_V_FLAG_X509_STRICT está habilitado, que está desabilitado por padrão e é usado para verificar adicionalmente a presença de certificados na cadeia. O problema foi introduzido na implementação do OpenSSL 1.1.1h de uma nova verificação que proíbe o uso de certificados em uma cadeia que codifica explicitamente parâmetros de curva elíptica.
Devido a um erro no código, a nova verificação substituiu o resultado de uma verificação realizada anteriormente quanto à exatidão do certificado da autoridade de certificação. Como resultado, os certificados certificados por um certificado autoassinado, que não está ligado por uma cadeia de confiança a uma autoridade de certificação, foram tratados como totalmente confiáveis. A vulnerabilidade não aparece se o parâmetro “propósito” estiver definido, que é definido por padrão nos procedimentos de verificação de certificado de cliente e servidor em libssl (usado para TLS).
- CVE-2021-3449 – É possível causar uma falha no servidor TLS por meio de um cliente enviando uma mensagem ClientHello especialmente criada. O problema está relacionado à desreferência do ponteiro NULL na implementação da extensão subscription_algorithms. O problema ocorre apenas em servidores que suportam TLSv1.2 e habilitam a renegociação de conexão (habilitada por padrão).
Fonte: opennet.ru