K dispozícii je údržba kryptografickej knižnice OpenSSL 1.1.1k, ktorá opravuje dve zraniteľnosti, ktorým je priradená vysoká úroveň závažnosti:
- CVE-2021-3450 - Overenie certifikátu certifikačnej autority je možné obísť, keď je povolený príznak X509_V_FLAG_X509_STRICT, ktorý je štandardne vypnutý a slúži na dodatočnú kontrolu prítomnosti certifikátov v reťazci. Problém bol predstavený v implementácii novej kontroly OpenSSL 1.1.1h, ktorá zakazuje používanie certifikátov v reťazci, ktorá explicitne kóduje parametre eliptickej krivky.
Z dôvodu chyby v kóde nová kontrola prepíše výsledok predtým vykonanej kontroly správnosti certifikátu certifikačnej autority. V dôsledku toho sa certifikáty certifikované certifikátom s vlastným podpisom, ktorý nie je prepojený reťazcom dôvery s certifikačnou autoritou, považovali za plne dôveryhodné. Zraniteľnosť sa neobjaví, ak je nastavený parameter „purpose“, ktorý je štandardne nastavený v postupoch overovania certifikátu klienta a servera v libssl (používanom pre TLS).
- CVE-2021-3449 – Je možné spôsobiť zlyhanie servera TLS prostredníctvom klienta, ktorý odošle špeciálne vytvorenú správu ClientHello. Problém súvisí s dereferenciou NULL ukazovateľa pri implementácii rozšírenia signature_algorithms. Problém sa vyskytuje iba na serveroch, ktoré podporujú TLSv1.2 a umožňujú opätovné vyjednávanie pripojenia (v predvolenom nastavení povolené).
Zdroj: opennet.ru