OpenSSL 1.1.1k-patchversionen Àr nu tillgÀnglig och ÄtgÀrdar tvÄ sÄrbarheter som klassats som hög allvarlighetsgrad:
- CVE-2021-3450 â En möjlig kringgĂ„ng av CA-certifikatvalidering Ă€r möjlig nĂ€r flaggan X509_V_FLAG_X509_STRICT Ă€r aktiverad. Denna flagga, inaktiverad som standard och anvĂ€nds för ytterligare verifiering av certifikat i en kedja, anvĂ€nds. Problemet introducerades i en ny kontroll som introducerades i OpenSSL 1.1.1h som förhindrar anvĂ€ndning av certifikat i en kedja som explicit kodar elliptiska kurvparametrar.
PÄ grund av ett kodfel Äsidosatte den nya kontrollen resultatet av en tidigare utförd certifikatvalideringskontroll av en CA. Som ett resultat behandlades certifikat som autentiserats av ett sjÀlvsignerat certifikat, som inte Àr lÀnkat till CA:n via en förtroendekedja, som helt tillförlitliga. SÄrbarheten manifesterar sig inte nÀr parametern "purpose" Àr instÀlld, vilket Àr standardvÀrdet i klient- och servercertifikatvalideringsrutinerna i libssl (anvÀnds för TLS).
- CVE-2021-3449 â Möjlighet att orsaka en krasch server TLS via klienten som skickar ett specialskrivet ClientHello-meddelande. Problemet Ă€r relaterat till en NULL-pekare-dereferens i implementeringen av signature_algorithms-tillĂ€gget. Problemet manifesterar sig endast i servrar med stöd för TLSv1.2 och omförhandling av anslutning aktiverat (aktiverat som standard).
KĂ€lla: opennet.ru
