Este disponibilă o versiune de întreținere a bibliotecii criptografice OpenSSL 1.1.1k, care remediază două vulnerabilități cărora li se atribuie un nivel de severitate ridicat:
- CVE-2021-3450 - Este posibil să ocoliți verificarea unui certificat de autoritate de certificare atunci când este activat indicatorul X509_V_FLAG_X509_STRICT, care este dezactivat implicit și este utilizat pentru a verifica suplimentar prezența certificatelor în lanț. Problema a fost introdusă în implementarea de către OpenSSL 1.1.1h a unei noi verificări care interzice utilizarea certificatelor într-un lanț care codifică în mod explicit parametrii curbei eliptice.
Din cauza unei erori în cod, noua verificare a depășit rezultatul unei verificări efectuate anterior pentru corectitudinea certificatului autorității de certificare. Drept urmare, certificatele certificate printr-un certificat autosemnat, care nu este legat printr-un lanț de încredere de o autoritate de certificare, au fost tratate ca fiind pe deplin demne de încredere. Vulnerabilitatea nu apare dacă este setat parametrul „scop”, care este setat implicit în procedurile de verificare a certificatelor client și server în libssl (utilizat pentru TLS).
- CVE-2021-3449 – Este posibil să provocați o blocare a serverului TLS printr-un client care trimite un mesaj ClientHello special conceput. Problema este legată de dereferința pointerului NULL în implementarea extensiei signature_algorithms. Problema apare numai pe serverele care acceptă TLSv1.2 și permit renegocierea conexiunii (activată implicit).
Sursa: opennet.ru