Le Projet OpenSSL a publié un avis de sécurité le 25 mars 2021 détaillant deux vulnérabilités de gravité élevée:
Contournement de la vérification du certificat CA avec X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Résumé : Une erreur dans la mise en œuvre des contrôles de sécurité activés par le X509_V_FLAG_X509_STRICT flag «signifiait que le résultat d'une vérification précédente pour confirmer que les certificats de la chaîne sont des certificats CA valides a été écrasé. Cela contourne efficacement la vérification selon laquelle les certificats non CA ne doivent pas être en mesure d'émettre d'autres certificats. »
Ce problème affecte uniquement les applications qui définissent explicitement le X509_V_FLAG_X509_STRICT flag (non défini par défaut) et «soit ne pas définir d'objet pour la vérification du certificat, soit, dans le cas de TLS applications client ou serveur, remplacez l’objectif par défaut. »
Cette vulnérabilité affecte les versions OpenSSL 1.1.1h et plus récentes, et les utilisateurs de ces versions doivent passer à la version 1.1.1k.
Pointeur NULL déréf dans le traitement signature_algorithms (CVE-2021-3449)
Résumé : Cette vulnérabilité permet à un attaquant de planter un OpenSSL TLS serveur en envoyant un message ClientHello conçu de manière malveillante: «Si un TLSRenégociation v1.2 ClientHello omet l'extension signature_algorithms (où elle était présente dans le ClientHello initial), mais inclut une extension signature_algorithms_cert, puis une déréférence de pointeur NULL en résultera, conduisant à un crash et une attaque par déni de service. »
Un serveur est vulnérable s'il a TLSv1.2 et renégociation activée, la configuration par défaut. Tous Les versions d'OpenSSL 1.1.1 sont affectées par ce problème et les utilisateurs de ces versions doivent passer à la version 1.1.1k.
