OpenSSL-Sicherheitshinweis: Sicherheitslücken mit hohem Schweregrad in Version 1.1.1k behoben

Das OpenSSL-Projekt ausgestellt a Sicherheitsberatung am 25. März 2021 mit zwei schwerwiegenden Sicherheitslücken:

Umgehung der CA-Zertifikatsprüfung mit X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Zusammenfassung: Ein Fehler bei der Implementierung von Sicherheitsüberprüfungen, die von der aktiviert wurden X509_V_FLAG_X509_STRICT flag “bedeutete, dass das Ergebnis einer vorherigen Überprüfung, um zu bestätigen, dass Zertifikate in der Kette gültige CA-Zertifikate sind, überschrieben wurde. Dies umgeht effektiv die Überprüfung, dass Nicht-CA-Zertifikate keine anderen Zertifikate ausstellen dürfen. “

Dieses Problem betrifft nur Anwendungen, die das explizit festlegen X509_V_FLAG_X509_STRICT Flag (nicht standardmäßig gesetzt) ​​und „entweder keinen Zweck für die Zertifikatsüberprüfung festlegen oder im Fall von TLS Client- oder Serveranwendungen überschreiben den Standardzweck. “

Diese Sicherheitsanfälligkeit betrifft OpenSSL-Versionen 1.1.1h und höher. Benutzer dieser Versionen sollten ein Upgrade auf Version 1.1.1k durchführen.

NULL-Zeiger-Deref bei der Verarbeitung von Signaturalgorithmen (CVE-2021-3449)

Zusammenfassung: Diese Sicherheitsanfälligkeit ermöglicht es einem Angreifer, eine OpenSSL zum Absturz zu bringen TLS Server durch Senden einer böswillig gestalteten ClientHello-Nachricht: „Wenn a TLSv1.2 Neuverhandlung ClientHello lässt die Signatur_algorithms-Erweiterung (wo sie in der ursprünglichen ClientHello-Erweiterung vorhanden war) weg, enthält jedoch eine Signatur_algorithms_cert-Erweiterung. Dies führt zu einer NULL-Zeiger-Dereferenzierung, die zu einem Absturz und einem Denial-of-Service-Angriff führt. “

Ein Server ist anfällig, wenn dies der Fall ist TLSv1.2 und Neuverhandlung aktiviert, die Standardkonfiguration. Alle OpenSSL 1.1.1-Versionen sind von diesem Problem betroffen, und Benutzer dieser Versionen sollten auf Version 1.1.1k aktualisieren.

 

SSL.com fordert alle OpenSSL-Benutzer auf, die vollständige Version zu überprüfen beratend und aktualisieren Sie ihre Installationen auf OpenSSL 1.1.1k, wenn sie eine Version ausführen, die von einer oder beiden dieser Sicherheitsanfälligkeiten betroffen ist. Wenden Sie sich wie immer an das SSL.com-Supportteam unter Support@SSL.com, 1-877-SSL-SECUREoder über den Chat-Link auf dieser Seite.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.