OpenSSL 加密库 1.1.1k 的维护版本现已推出,它修复了两个严重级别较高的漏洞:
- CVE-2021-3450 - 当启用 X509_V_FLAG_X509_STRICT 标志时,可以绕过证书颁发机构证书的验证,该标志默认情况下处于禁用状态,用于额外检查链中证书的存在。 该问题是在 OpenSSL 1.1.1h 实施新检查时引入的,该检查禁止在显式编码椭圆曲线参数的链中使用证书。
由于代码中存在错误,新的检查覆盖了先前对证书颁发机构证书的正确性执行的检查的结果。 因此,由自签名证书认证的证书(不通过信任链链接到证书颁发机构)被视为完全可信。 如果设置“目的”参数,则不会出现该漏洞,该参数在 libssl(用于 TLS)的客户端和服务器证书验证过程中默认设置。
- CVE-2021-3449 – 客户端发送特制的 ClientHello 消息可能会导致 TLS 服务器崩溃。 该问题与签名算法扩展实现中的 NULL 指针取消引用有关。 该问题仅发生在支持 TLSv1.2 并启用连接重新协商(默认启用)的服务器上。
来源: opennet.ru