En underhållsversion av det kryptografiska biblioteket OpenSSL 1.1.1k är tillgänglig, som åtgärdar två sårbarheter som tilldelas en hög allvarlighetsgrad:
- CVE-2021-3450 - Det är möjligt att kringgå verifieringen av ett certifikatutfärdares certifikat när flaggan X509_V_FLAG_X509_STRICT är aktiverad, vilket är inaktiverat som standard och används för att ytterligare kontrollera närvaron av certifikat i kedjan. Problemet introducerades i OpenSSL 1.1.1hs implementering av en ny kontroll som förbjuder användning av certifikat i en kedja som uttryckligen kodar elliptiska kurvparametrar.
På grund av ett fel i koden åsidosatte den nya kontrollen resultatet av en tidigare utförd kontroll för att certifieringsmyndighetens certifikat är korrekt. Som ett resultat av detta behandlades certifikat certifierade av ett självsignerat certifikat, som inte är kopplat av en förtroendekedja till en certifieringsmyndighet, som fullt pålitliga. Sårbarheten visas inte om parametern "syfte" är inställd, som är inställd som standard i klient- och servercertifikatverifieringsprocedurerna i libssl (används för TLS).
- CVE-2021-3449 – Det är möjligt att orsaka en TLS-serverkrasch via en klient som skickar ett speciellt utformat ClientHello-meddelande. Problemet är relaterat till NULL-pekaredereferens i implementeringen av signatur_algorithms-tillägget. Problemet uppstår endast på servrar som stöder TLSv1.2 och möjliggör omförhandling av anslutningen (aktiverat som standard).
Källa: opennet.ru