OpenSSL 加密庫 1.1.1k 的維護版本現已推出,它修復了兩個嚴重程度較高的漏洞:
- CVE-2021-3450 - 當啟用 X509_V_FLAG_X509_STRICT 標誌時,可以繞過憑證授權單位憑證的驗證,該標誌預設為停用狀態,用於額外檢查鏈中憑證的存在。 該問題是在 OpenSSL 1.1.1h 實施新檢查時引入的,該檢查禁止在明確編碼橢圓曲線參數的鏈中使用憑證。
由於程式碼中存在錯誤,新的檢查覆蓋了先前對證書頒發機構證書的正確性執行的檢查的結果。 因此,由自簽名憑證認證的憑證(不透過信任鏈連結到憑證授權單位)被視為完全可信。 如果設定「目的」參數,則不會出現該漏洞,該參數在 libssl(用於 TLS)的用戶端和伺服器憑證驗證過程中預設為設定。
- CVE-2021-3449 – 用戶端傳送特製的 ClientHello 訊息可能會導致 TLS 伺服器崩潰。 該問題與簽章演算法擴充實作中的 NULL 指標取消引用有關。 此問題僅發生在支援 TLSv1.2 並啟用連線重新協商(預設為啟用)的伺服器上。
來源: opennet.ru