Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 3 месяца
Сообщений: 27286

news_bot ^® написал(а)
26-Мар-2021 01:30

Цитировать

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:

CVE-2021-3450 - возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.
Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра "purpose", который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).
CVE-2021-3449 - возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с
разыменованием указателя NULL в реализации расширения signature_algorithms.
Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).

===========
Источник:
OpenNet.RU
===========

Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей

Похожие новости