Доступна је верзија за одржавање ОпенССЛ криптографске библиотеке 1.1.1к, која поправља две рањивости којима је додељен висок ниво озбиљности:
- ЦВЕ-2021-3450 – Могуће је заобићи верификацију сертификата ауторитета за сертификате када је омогућена ознака Кс509_В_ФЛАГ_Кс509_СТРИЦТ, која је подразумевано онемогућена и користи се за додатну проверу присуства сертификата у ланцу. Проблем је уведен у ОпенССЛ 1.1.1х имплементацији нове провере која забрањује употребу сертификата у ланцу који експлицитно кодира параметре елиптичке криве.
Због грешке у коду, нова провера је надјачала резултат претходно обављене провере исправности сертификата ауторитета за сертификацију. Као резултат тога, сертификати сертификовани самопотписаним сертификатом, који није повезан ланцем поверења са ауторитетом за сертификацију, третирани су као потпуно поуздани. Рањивост се не појављује ако је подешен параметар „сврха“, који је подразумевано постављен у процедурама верификације сертификата клијента и сервера у либссл (користи се за ТЛС).
- ЦВЕ-2021-3449 – Могуће је изазвати пад ТЛС сервера преко клијента који шаље посебно креирану ЦлиентХелло поруку. Проблем је повезан са НУЛЛ дереференцирањем показивача у имплементацији проширења сигнатуре_алгоритхмс. Проблем се јавља само на серверима који подржавају ТЛСв1.2 и омогућавају поновно преговарање о вези (подразумевано омогућено).
Извор: опеннет.ру