OpenSSL kriptografik kutubxonasining 1.1.1k texnik versiyasi mavjud bo'lib, u yuqori jiddiylik darajasiga ega bo'lgan ikkita zaiflikni tuzatadi:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT bayrog'i yoqilganda sertifikat organi sertifikatini tekshirishni chetlab o'tish mumkin, bu sukut bo'yicha o'chirilgan va zanjirda sertifikatlar mavjudligini qo'shimcha tekshirish uchun ishlatiladi. Muammo OpenSSL 1.1.1h-ning elliptik egri parametrlarini aniq kodlaydigan zanjirda sertifikatlardan foydalanishni taqiqlovchi yangi tekshiruvni amalga oshirishda kiritildi.
Koddagi xatolik tufayli yangi tekshirish sertifikatlash organi sertifikatining to'g'riligi uchun ilgari o'tkazilgan tekshirish natijasini bekor qildi. Natijada, sertifikatlashtirish organi bilan ishonch zanjiri bilan bog'lanmagan o'z-o'zidan imzolangan sertifikat bilan tasdiqlangan sertifikatlar to'liq ishonchli deb hisoblandi. Libssl'da (TLS uchun ishlatiladi) mijoz va server sertifikatlarini tekshirish protseduralarida sukut bo'yicha o'rnatiladigan "maqsad" parametri o'rnatilgan bo'lsa, zaiflik paydo bo'lmaydi.
- CVE-2021-3449 - Maxsus tayyorlangan ClientHello xabarini jo'natgan mijoz orqali TLS serverining ishdan chiqishiga olib kelishi mumkin. Muammo signature_algorithms kengaytmasini amalga oshirishda NULL ko'rsatkichni yo'qotish bilan bog'liq. Muammo faqat TLSv1.2 ni qo'llab-quvvatlaydigan va ulanishni qayta ko'rib chiqishni yoqadigan (sukut bo'yicha yoqilgan) serverlarda yuzaga keladi.
Manba: opennet.ru