Das OpenSSL-Projekt ausgestellt a Sicherheitsberatung am 25. März 2021 mit zwei schwerwiegenden Sicherheitslücken:
Umgehung der CA-Zertifikatsprüfung mit X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Zusammenfassung: Ein Fehler bei der Implementierung von Sicherheitsüberprüfungen, die von der aktiviert wurden X509_V_FLAG_X509_STRICT
flag “bedeutete, dass das Ergebnis einer vorherigen Überprüfung, um zu bestätigen, dass Zertifikate in der Kette gültige CA-Zertifikate sind, überschrieben wurde. Dies umgeht effektiv die Überprüfung, dass Nicht-CA-Zertifikate keine anderen Zertifikate ausstellen dürfen. “
Dieses Problem betrifft nur Anwendungen, die das explizit festlegen X509_V_FLAG_X509_STRICT
Flag (nicht standardmäßig gesetzt) und „entweder keinen Zweck für die Zertifikatsüberprüfung festlegen oder im Fall von TLS Client- oder Serveranwendungen überschreiben den Standardzweck. “
Diese Sicherheitsanfälligkeit betrifft OpenSSL-Versionen 1.1.1h und höher. Benutzer dieser Versionen sollten ein Upgrade auf Version 1.1.1k durchführen.
NULL-Zeiger-Deref bei der Verarbeitung von Signaturalgorithmen (CVE-2021-3449)
Zusammenfassung: Diese Sicherheitsanfälligkeit ermöglicht es einem Angreifer, eine OpenSSL zum Absturz zu bringen TLS Server durch Senden einer böswillig gestalteten ClientHello-Nachricht: „Wenn a TLSv1.2 Neuverhandlung ClientHello lässt die Signatur_algorithms-Erweiterung (wo sie in der ursprünglichen ClientHello-Erweiterung vorhanden war) weg, enthält jedoch eine Signatur_algorithms_cert-Erweiterung. Dies führt zu einer NULL-Zeiger-Dereferenzierung, die zu einem Absturz und einem Denial-of-Service-Angriff führt. “
Ein Server ist anfällig, wenn dies der Fall ist TLSv1.2 und Neuverhandlung aktiviert, die Standardkonfiguration. Alle OpenSSL 1.1.1-Versionen sind von diesem Problem betroffen, und Benutzer dieser Versionen sollten auf Version 1.1.1k aktualisieren.