OpenSSL క్రిప్టోగ్రాఫిక్ లైబ్రరీ 1.1.1k యొక్క నిర్వహణ విడుదల అందుబాటులో ఉంది, ఇది అధిక తీవ్రత స్థాయిని కేటాయించిన రెండు దుర్బలత్వాలను పరిష్కరిస్తుంది:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT ఫ్లాగ్ ప్రారంభించబడినప్పుడు సర్టిఫికేట్ అథారిటీ సర్టిఫికేట్ యొక్క ధృవీకరణను దాటవేయడం సాధ్యమవుతుంది, ఇది డిఫాల్ట్గా నిలిపివేయబడుతుంది మరియు గొలుసులోని ప్రమాణపత్రాల ఉనికిని అదనంగా తనిఖీ చేయడానికి ఉపయోగించబడుతుంది. ఎలిప్టిక్ కర్వ్ పారామితులను స్పష్టంగా ఎన్కోడ్ చేసే గొలుసులో సర్టిఫికెట్ల వినియోగాన్ని నిషేధించే కొత్త చెక్ యొక్క OpenSSL 1.1.1h అమలులో సమస్య పరిచయం చేయబడింది.
కోడ్లో లోపం కారణంగా, ధృవీకరణ అధికార ప్రమాణపత్రం యొక్క ఖచ్చితత్వం కోసం గతంలో చేసిన చెక్ యొక్క ఫలితాన్ని కొత్త చెక్ ఓవర్రోడ్ చేసింది. ఫలితంగా, ధృవీకరణ అధికారంతో ట్రస్ట్ యొక్క గొలుసుతో లింక్ చేయబడని స్వీయ-సంతకం సర్టిఫికేట్ ద్వారా ధృవీకరించబడిన సర్టిఫికేట్లు పూర్తిగా విశ్వసనీయమైనవిగా పరిగణించబడ్డాయి. libssl (TLS కోసం ఉపయోగించబడుతుంది)లో క్లయింట్ మరియు సర్వర్ సర్టిఫికేట్ ధృవీకరణ విధానాలలో డిఫాల్ట్గా సెట్ చేయబడిన “ప్రయోజనం” పరామితి సెట్ చేయబడితే దుర్బలత్వం కనిపించదు.
- CVE-2021-3449 – క్లయింట్ ప్రత్యేకంగా రూపొందించిన ClientHello సందేశాన్ని పంపడం ద్వారా TLS సర్వర్ క్రాష్కు కారణం కావచ్చు. సమస్య సిగ్నేచర్_అల్గారిథమ్స్ ఎక్స్టెన్షన్ అమలులో NULL పాయింటర్ డిరిఫరెన్స్కు సంబంధించినది. సమస్య TLSv1.2కి మద్దతిచ్చే సర్వర్లలో మాత్రమే సంభవిస్తుంది మరియు కనెక్షన్ రీనెగోషియేషన్ను ఎనేబుల్ చేస్తుంది (డిఫాల్ట్గా ప్రారంభించబడింది).
మూలం: opennet.ru