Available ang maintenance release ng OpenSSL cryptographic library 1.1.1k, na nag-aayos ng dalawang kahinaan na nakatalaga sa mataas na antas ng kalubhaan:
- CVE-2021-3450 - Posibleng i-bypass ang pag-verify ng certificate authority certificate kapag ang X509_V_FLAG_X509_STRICT na flag ay pinagana, na hindi pinagana bilang default at ginagamit upang masuri din ang pagkakaroon ng mga certificate sa chain. Ang problema ay ipinakilala sa pagpapatupad ng OpenSSL 1.1.1h ng isang bagong tseke na nagbabawal sa paggamit ng mga sertipiko sa isang chain na tahasang nag-encode ng mga parameter ng elliptic curve.
Dahil sa isang error sa code, na-overrode ng bagong check ang resulta ng dati nang ginawang pagsusuri para sa kawastuhan ng sertipiko ng awtoridad sa sertipikasyon. Bilang resulta, ang mga certificate na na-certify ng isang self-signed certificate, na hindi naka-link ng chain of trust sa isang certification authority, ay itinuturing na ganap na mapagkakatiwalaan. Hindi lalabas ang kahinaan kung ang parameter na "layunin" ay nakatakda, na itinakda bilang default sa mga pamamaraan ng pag-verify ng certificate ng kliyente at server sa libssl (ginagamit para sa TLS).
- CVE-2021-3449 β Posibleng magdulot ng pag-crash ng TLS server sa pamamagitan ng pagpapadala ng kliyente ng espesyal na ginawang mensahe ng ClientHello. Ang isyu ay nauugnay sa NULL pointer dereference sa pagpapatupad ng signature_algorithms extension. Ang isyu ay nangyayari lamang sa mga server na sumusuporta sa TLSv1.2 at nagpapagana ng pag-renew ng koneksyon (naka-enable bilang default).
Pinagmulan: opennet.ru