Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k, в котором устранены две уязвимости, которым присвоен высокий уровень опасности:
CVE-2021–3450 — возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.
Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра «purpose», который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).
CVE-2021–3449 — возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с разыменованием указателя NULL в реализации расширения signature_algorithms. Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).
Источник: http://www.opennet.ru/opennews/art.shtml? num=54833
© OpenNet