Доступний коригуючий випуск криптографічної бібліотеки OpenSSL 1.1.1k, у якому усунуто дві вразливості, яким присвоєно високий рівень небезпеки:
- CVE-2021-3450 — можливість обходу перевірки сертифіката центру, що засвідчує, при включенні прапора X509_V_FLAG_X509_STRICT, який відключений за замовчуванням і застосовується для додаткової перевірки наявності сертифікатів у ланцюжку. Проблема внесена до нової перевірки, що з'явилася в OpenSSL 1.1.1h, забороняє використання сертифікатів у ланцюжку, в яких явно закодовані параметри еліптичної кривої.
Через помилку в коді нова перевірка перевизначала результат виконаної до цього перевірки коректності сертифіката центру, що засвідчує. У результаті сертифікати засвідчені самопідписаним сертифікатом, який не пов'язаний ланцюжком довіри з центром, що засвідчує, оброблялися як повністю заслуговують на довіру. Уразливість не виявляється у разі встановлення параметра «purpose», який за умовчанням виставляється у процедурах перевірки клієнтських та серверних сертифікатів у libssl (застосовується для TLS).
- CVE-2021-3449 – можливість виклику краху сервера TLS через відправлення клієнтом спеціально оформленого повідомлення ClientHello. Проблема пов'язана з розіменуванням покажчика NULL у реалізації розширення signature_algorithms. Проблема проявляється лише на серверах з підтримкою TLSv1.2 та дозволом повторного узгодження з'єднання (включено за замовчуванням).
Джерело: opennet.ru