มีการเปิดตัวการบำรุงรักษาของไลบรารีการเข้ารหัส OpenSSL 1.1.1k ซึ่งแก้ไขช่องโหว่สองรายการที่กำหนดระดับความรุนแรงสูง:
- CVE-2021-3450 - เป็นไปได้ที่จะข้ามการตรวจสอบใบรับรองของผู้ออกใบรับรองเมื่อเปิดใช้งานแฟล็ก X509_V_FLAG_X509_STRICT ซึ่งปิดใช้งานโดยค่าเริ่มต้น และใช้เพื่อตรวจสอบการมีอยู่ของใบรับรองในห่วงโซ่เพิ่มเติม ปัญหาดังกล่าวเกิดขึ้นในการใช้งานการตรวจสอบแบบใหม่ของ OpenSSL 1.1.1h ที่ห้ามการใช้ใบรับรองในห่วงโซ่ที่เข้ารหัสพารามิเตอร์เส้นโค้งรูปไข่อย่างชัดเจน
เนื่องจากข้อผิดพลาดในรหัส เช็คใหม่จึงแทนที่ผลลัพธ์ของการตรวจสอบที่ดำเนินการก่อนหน้านี้สำหรับความถูกต้องของใบรับรองผู้ออกใบรับรอง ด้วยเหตุนี้ ใบรับรองที่ได้รับการรับรองโดยใบรับรองที่ลงนามด้วยตนเอง ซึ่งไม่ได้เชื่อมโยงด้วยสายโซ่แห่งความไว้วางใจกับหน่วยงานออกใบรับรอง จึงได้รับการปฏิบัติว่ามีความน่าเชื่อถือโดยสมบูรณ์ ช่องโหว่จะไม่ปรากฏขึ้นหากตั้งค่าพารามิเตอร์ "วัตถุประสงค์" ซึ่งตั้งค่าไว้เป็นค่าเริ่มต้นในขั้นตอนการตรวจสอบใบรับรองไคลเอ็นต์และเซิร์ฟเวอร์ใน libssl (ใช้สำหรับ TLS)
- CVE-2021-3449 – เป็นไปได้ที่จะทำให้เซิร์ฟเวอร์ TLS หยุดทำงานผ่านไคลเอนต์ที่ส่งข้อความ ClientHello ที่สร้างขึ้นเป็นพิเศษ ปัญหานี้เกี่ยวข้องกับการยกเลิกการอ้างอิงตัวชี้ NULL ในการใช้งานส่วนขยาย Signature_algorithms ปัญหานี้เกิดขึ้นเฉพาะบนเซิร์ฟเวอร์ที่รองรับ TLSv1.2 และเปิดใช้งานการเจรจาการเชื่อมต่อใหม่ (เปิดใช้งานตามค่าเริ่มต้น)
ที่มา: opennet.ru