Toleo la matengenezo la maktaba ya kriptografia ya OpenSSL 1.1.1k linapatikana, ambalo hurekebisha udhaifu mbili ambao umepewa kiwango cha juu cha ukali:
- CVE-2021-3450 - Inawezekana kupita uthibitishaji wa cheti cha mamlaka ya cheti wakati bendera ya X509_V_FLAG_X509_STRICT imewashwa, ambayo imezimwa kwa chaguo-msingi na inatumiwa kuangalia uwepo wa vyeti kwenye mlolongo. Tatizo lilianzishwa katika utekelezaji wa OpenSSL 1.1.1h wa hundi mpya ambayo inakataza matumizi ya vyeti katika mlolongo unaosimba kwa uwazi vigezo vya curve ya duaradufu.
Kwa sababu ya hitilafu katika msimbo, hundi mpya ilibatilisha matokeo ya ukaguzi uliofanywa awali wa usahihi wa cheti cha mamlaka ya uthibitishaji. Kwa hivyo, vyeti vilivyoidhinishwa na cheti cha kujiandikisha, ambacho hakijaunganishwa na msururu wa uaminifu kwa mamlaka ya uidhinishaji, vilichukuliwa kuwa vya kuaminika kabisa. Athari haionekani ikiwa kigezo cha "kusudi" kimewekwa, ambacho kimewekwa kwa chaguo-msingi katika taratibu za uthibitishaji wa cheti cha mteja na seva katika libssl (hutumika kwa TLS).
- CVE-2021-3449 - Inawezekana kusababisha hitilafu ya seva ya TLS kupitia mteja kutuma ujumbe ulioundwa mahususi wa ClientHello. Suala hili linahusiana na urejeleaji wa kielekezi NULL katika utekelezaji wa kiendelezi cha signature_algorithms. Tatizo hutokea kwenye seva zinazotumia TLSv1.2 pekee na kuwezesha mazungumzo ya muunganisho (yamewezeshwa kwa chaguomsingi).
Chanzo: opennet.ru