Pelepasan pangropéa perpustakaan kriptografi OpenSSL 1.1.1k sayogi, anu ngalereskeun dua kerentanan anu ditugaskeun tingkat parah anu luhur:
- CVE-2021-3450 - Kasebut nyaéta dimungkinkeun pikeun ngaliwat verifikasi sertipikat otoritas sertipikat nalika bendera X509_V_FLAG_X509_STRICT diaktipkeun, anu ditumpurkeun sacara standar sareng dianggo pikeun mariksa ogé ayana sertipikat dina ranté. Masalahna diwanohkeun dina palaksanaan OpenSSL 1.1.1h tina cek anyar anu ngalarang panggunaan sertipikat dina ranté anu sacara eksplisit ngodekeun parameter kurva elliptic.
Alatan kasalahan dina kode, cek anyar overrode hasil pamariksaan saméméhna dipigawé pikeun correctness tina sertipikat otoritas sertifikasi. Hasilna, sertipikat anu disertipikasi ku sertipikat anu ditandatanganan diri, anu henteu dikaitkeun ku ranté kapercayaan ka otoritas sertifikasi, diperlakukeun sapinuhna dipercaya. Kerentanan henteu muncul upami parameter "tujuan" disetel, anu diatur sacara standar dina prosedur verifikasi sertipikat klien sareng server dina libssl (dipaké pikeun TLS).
- CVE-2021-3449 - Ieu mungkin ngabalukarkeun kacilakaan server TLS via klien ngirim pesen ClientHello dijieun husus. Masalahna aya hubunganana sareng NULL pointer dereference dina palaksanaan extension signature_algorithms. Masalahna ngan ukur aya dina server anu ngadukung TLSv1.2 sareng ngaktifkeun renegotiation sambungan (diaktipkeun sacara standar).
sumber: opennet.ru