Aviso de seguridad de OpenSSL: Vulnerabilidades de alta gravedad corregidas en la versión 1.1.1k

El Proyecto OpenSSL emitió una asesoramiento de seguridad el 25 de marzo de 2021 detallando dos vulnerabilidades de alta gravedad:

Omisión de verificación de certificado de CA con X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Resumen: Un error en la implementación de controles de seguridad habilitados por el X509_V_FLAG_X509_STRICT flag “significaba que se sobrescribió el resultado de una verificación previa para confirmar que los certificados de la cadena son certificados de CA válidos. Esto evita efectivamente la verificación de que los certificados que no son de CA no deben poder emitir otros certificados ".

Este problema solo afecta a las aplicaciones que establecieron explícitamente el X509_V_FLAG_X509_STRICT bandera (no establecida de forma predeterminada) y "o no establece un propósito para la verificación del certificado o, en el caso de TLS aplicaciones cliente o servidor, anulan el propósito predeterminado ".

Esta vulnerabilidad afecta a las versiones 1.1.1h de OpenSSL y posteriores, y los usuarios de estas versiones deben actualizar a la versión 1.1.1k.

Deref de puntero NULL en el procesamiento de algoritmos de firma (CVE-2021-3449)

Resumen: Esta vulnerabilidad permite a un atacante bloquear un OpenSSL TLS servidor enviando un mensaje ClientHello creado con fines malintencionados: "Si un TLSv1.2 renegociación ClientHello omite la extensión signature_algorithms (donde estaba presente en la extensión ClientHello inicial), pero incluye una extensión signature_algorithms_cert, luego se producirá una desreferencia del puntero NULL, lo que provocará un bloqueo y un ataque de denegación de servicio ".

Un servidor es vulnerable si tiene TLSv1.2 y renegociación habilitada, la configuración predeterminada. Todos Las versiones de OpenSSL 1.1.1 se ven afectadas por este problema y los usuarios de estas versiones deben actualizar a la versión 1.1.1k.

 

SSL.com anima a todos los usuarios de OpenSSL a revisar el asesor y actualizar sus instalaciones a OpenSSL 1.1.1k si están ejecutando una versión afectada por una o ambas de estas vulnerabilidades. Como siempre, no dude en ponerse en contacto con el equipo de soporte de SSL.com en Support@SSL.com, 1-877-SSL-SECURE, oa través del enlace de chat en esta página.

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.