Обновление OpenSSL 3.0.1 и 1.1.1m с устранением уязвимости
Автор
Сообщение
news_bot ®
Стаж: 7 лет 4 месяца
Сообщений: 27286
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.1 и 1.1.1m, в которых устранена уязвимость (CVE-2021-4044), а также исправлено около десятка ошибок.
Уязвимость присутствует в реализации клиентов SSL/TLS и связана с тем, что библиотека libssl некорректно обрабатывает отрицательные значения кодов ошибок, возвращаемые функцией X509_verify_cert(), вызываемой для проверки сертификата, переданного клиенту сервером. Отрицательные коды возвращаются при возникновении внутренних ошибок, например, в случае невозможности выделить память под буфер. В случае возвращения подобной ошибки последующий вызов функций ввода/вывода, таких как SSL_connect() и SSL_do_handshake(), приведёт к возвращению неуспешного завершения и кода ошибки SSL_ERROR_WANT_RETRY_VERIFY, который должен возвращаться только если приложение раннее совершало вызов SSL_CTX_set_cert_verify_callback().
Так как большинство приложении не вызывают SSL_CTX_set_cert_verify_callback(), появление ошибки SSL_ERROR_WANT_RETRY_VERIFY может быть неверно истолковано и привести к аварийному завершению, зацикливанию или другим некорректным реакциям. Наибольшую опасность проблема представляет в комбинации с другой ошибкой в OpenSSL 3.0, приводящей к возникновению внутренней ошибки при обработке в X509_verify_cert() сертификатов без расширения "Subject Alternative Name", но с привязками к именам в ограничениях использования. В этом случае атака может привести к зависящим от приложений аномалиям при обработке сертификатов и установке сеансов TLS.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/o...)
- OpenNews: Выпуск криптографической библиотеки OpenSSL 3.0.0
- OpenNews: Обновление OpenSSL 1.1.1l с устранением двух уязвимостей
- OpenNews: Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
- OpenNews: Void Linux возвращается с LibreSSL на OpenSSL
- OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
Похожие новости:
- Выпуск криптографической библиотеки OpenSSL 3.0.0
- Обновление OpenSSL 1.1.1l с устранением двух уязвимостей
- [Информационная безопасность, Серверное администрирование] Привет, Telnet! И пока. Команда OpenSSL s_client для зашифрованных соединений (перевод)
- [Облачные вычисления, Разработка под Linux, Распределённые системы, Процессоры] Сравнение криптографической производительности популярных ARM-процессоров для DYI и Edge-устройств, плюс Xeon E-2224
- [Информационная безопасность, Криптография, Open source, *nix, ECM/СЭД] ЭЦП по ГОСТ на GNU/Linux с помощью OpenSSL
- [Криптография, Open source, Софт] В OpenSSL нашли две опасные уязвимости
- Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей
- Void Linux возвращается с LibreSSL на OpenSSL
- Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4
- Gentoo прекращает поддержку LibreSSL в пользу OpenSSL и LibreTLS
Теги для поиска: #_openssl
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 16-Июн 21:24
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 4 месяца |
|
|
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.1 и 1.1.1m, в которых устранена уязвимость (CVE-2021-4044), а также исправлено около десятка ошибок. Уязвимость присутствует в реализации клиентов SSL/TLS и связана с тем, что библиотека libssl некорректно обрабатывает отрицательные значения кодов ошибок, возвращаемые функцией X509_verify_cert(), вызываемой для проверки сертификата, переданного клиенту сервером. Отрицательные коды возвращаются при возникновении внутренних ошибок, например, в случае невозможности выделить память под буфер. В случае возвращения подобной ошибки последующий вызов функций ввода/вывода, таких как SSL_connect() и SSL_do_handshake(), приведёт к возвращению неуспешного завершения и кода ошибки SSL_ERROR_WANT_RETRY_VERIFY, который должен возвращаться только если приложение раннее совершало вызов SSL_CTX_set_cert_verify_callback(). Так как большинство приложении не вызывают SSL_CTX_set_cert_verify_callback(), появление ошибки SSL_ERROR_WANT_RETRY_VERIFY может быть неверно истолковано и привести к аварийному завершению, зацикливанию или другим некорректным реакциям. Наибольшую опасность проблема представляет в комбинации с другой ошибкой в OpenSSL 3.0, приводящей к возникновению внутренней ошибки при обработке в X509_verify_cert() сертификатов без расширения "Subject Alternative Name", но с привязками к именам в ограничениях использования. В этом случае атака может привести к зависящим от приложений аномалиям при обработке сертификатов и установке сеансов TLS. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 16-Июн 21:24
Часовой пояс: UTC + 5