Një version i mirëmbajtjes i bibliotekës kriptografike OpenSSL 1.1.1k është i disponueshëm, i cili rregullon dy dobësi të cilave u është caktuar një nivel i lartë serioziteti:
- CVE-2021-3450 - Është e mundur të anashkalohet verifikimi i një certifikate të autoritetit certifikues kur është aktivizuar flamuri X509_V_FLAG_X509_STRICT, i cili është i çaktivizuar si parazgjedhje dhe përdoret për të kontrolluar gjithashtu praninë e certifikatave në zinxhir. Problemi u prezantua në zbatimin e OpenSSL 1.1.1h të një kontrolli të ri që ndalon përdorimin e certifikatave në një zinxhir që kodojnë në mënyrë të qartë parametrat e kurbës eliptike.
Për shkak të një gabimi në kod, kontrolli i ri ka tejkaluar rezultatin e një kontrolli të kryer më parë për korrektësinë e certifikatës së autoritetit të certifikimit. Si rezultat, certifikatat e vërtetuara nga një certifikatë e vetë-nënshkruar, e cila nuk është e lidhur nga një zinxhir besimi me një autoritet certifikues, u trajtuan si plotësisht të besueshme. Dobësia nuk shfaqet nëse është vendosur parametri "qëllimi", i cili vendoset si parazgjedhje në procedurat e verifikimit të certifikatës së klientit dhe serverit në libssl (përdoret për TLS).
- CVE-2021-3449 – Është e mundur të shkaktohet një përplasje e serverit TLS nëpërmjet një klienti që dërgon një mesazh të krijuar posaçërisht ClientHello. Çështja lidhet me referencën e treguesit NULL në zbatimin e zgjerimit signature_algorithms. Problemi ndodh vetëm në serverët që mbështesin TLSv1.2 dhe mundësojnë rinegocimin e lidhjes (aktivizuar si parazgjedhje).
Burimi: opennet.ru