Đã có bản phát hành bảo trì của thư viện mật mã OpenSSL 1.1.1k, bản này sửa hai lỗ hổng được ấn định mức độ nghiêm trọng cao:
- CVE-2021-3450 - Có thể bỏ qua việc xác minh chứng chỉ của tổ chức phát hành chứng chỉ khi cờ X509_V_FLAG_X509_STRICT được bật, cờ này bị tắt theo mặc định và được sử dụng để kiểm tra bổ sung sự hiện diện của chứng chỉ trong chuỗi. Sự cố đã xuất hiện trong quá trình triển khai một kiểm tra mới của OpenSSL 1.1.1h nhằm cấm sử dụng chứng chỉ trong chuỗi mã hóa rõ ràng các tham số đường cong elip.
Do lỗi mã, lần kiểm tra mới sẽ ghi đè kết quả của lần kiểm tra trước đó về tính chính xác của chứng chỉ của tổ chức chứng nhận. Do đó, các chứng chỉ được chứng nhận bởi chứng chỉ tự ký, không được liên kết bởi chuỗi tin cậy với cơ quan chứng nhận, được coi là hoàn toàn đáng tin cậy. Lỗ hổng không xuất hiện nếu tham số “mục đích” được đặt, được đặt theo mặc định trong quy trình xác minh chứng chỉ máy khách và máy chủ trong libssl (được sử dụng cho TLS).
- CVE-2021-3449 – Có thể gây ra sự cố máy chủ TLS thông qua việc khách hàng gửi tin nhắn ClientHello được tạo đặc biệt. Sự cố liên quan đến việc vô hiệu hóa con trỏ NULL trong quá trình triển khai tiện ích mở rộng signature_algorithms. Sự cố chỉ xảy ra trên các máy chủ hỗ trợ TLSv1.2 và bật đàm phán lại kết nối (được bật theo mặc định).
Nguồn: opennet.ru