Na voljo je vzdrževalna izdaja kriptografske knjižnice OpenSSL 1.1.1k, ki odpravlja dve ranljivosti, ki jima je dodeljena visoka stopnja resnosti:
- CVE-2021-3450 - Možno je zaobiti preverjanje potrdila overitelja potrdil, ko je omogočena zastavica X509_V_FLAG_X509_STRICT, ki je privzeto onemogočena in se uporablja za dodatno preverjanje prisotnosti potrdil v verigi. Težava je bila predstavljena v implementaciji novega preverjanja OpenSSL 1.1.1h, ki prepoveduje uporabo potrdil v verigi, ki eksplicitno kodirajo parametre eliptične krivulje.
Novo preverjanje je zaradi napake v kodi razveljavilo rezultat predhodno opravljenega preverjanja pravilnosti potrdila overitelja. Posledično so bili certifikati, potrjeni s samopodpisanim certifikatom, ki ni povezan z verigo zaupanja do overitelja, obravnavani kot popolnoma zaupanja vredni. Ranljivost se ne prikaže, če je nastavljen parameter »purpose«, ki je privzeto nastavljen v postopkih preverjanja potrdila odjemalca in strežnika v libssl (uporablja se za TLS).
- CVE-2021-3449 – Možno je povzročiti zrušitev strežnika TLS prek odjemalca, ki pošlje posebej oblikovano sporočilo ClientHello. Težava je povezana z dereferenco kazalca NULL v implementaciji razširitve signature_algorithms. Težava se pojavi samo na strežnikih, ki podpirajo TLSv1.2 in omogočajo ponovno pogajanje o povezavi (privzeto omogočeno).
Vir: opennet.ru