Доступна је верзија за одржавање ОпенССЛ криптографске библиотеке 1.1.1к, која поправља две рањивости којима је додељен висок ниво озбиљности:
- ЦВЕ-2021-3450 – Могуће је заобићи верификацију сертификата ауторитета за сертификате када је омогућена ознака Кс509_В_ФЛАГ_Кс509_СТРИЦТ, која је подразумевано онемогућена и користи се за додатну проверу присуства сертификата у ланцу. Проблем је уведен у ОпенССЛ 1.1.1х имплементацији нове провере која забрањује употребу сертификата у ланцу који експлицитно кодира параметре елиптичке криве.
Због грешке у коду, нова провера је надјачала резултат претходно обављене провере исправности сертификата ауторитета за сертификацију. Као резултат тога, сертификати сертификовани самопотписаним сертификатом, који није повезан ланцем поверења са ауторитетом за сертификацију, третирани су као потпуно поуздани. Рањивост се не појављује ако је подешен параметар „сврха“, који је подразумевано постављен у процедурама верификације сертификата клијента и сервера у либссл (користи се за ТЛС).
- CVE-2021-3449 – Могућност изазивања пада система сервер TLS преко клијента који шаље посебно креирану ClientHello поруку. Проблем је повезан са дереференцирањем NULL показивача у имплементацији екстензије signature_algorithms. Проблем се манифестује само у сервери са омогућеном подршком за TLSv1.2 и поновним преговарањем о вези (подразумевано омогућено).
Извор: опеннет.ру
