en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Avis de sécurité OpenSSL: vulnérabilités de haute gravité corrigées dans la version 1.1.1k

En XNUMX, le Projet OpenSSL a publié un avis de sécurité le 25 mars 2021 détaillant deux vulnérabilités de gravité élevée:

Contournement de la vérification du certificat CA avec X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Résumé: Une erreur dans la mise en œuvre des contrôles de sécurité activés par le X509_V_FLAG_X509_STRICT flag «signifiait que le résultat d'une vérification précédente pour confirmer que les certificats de la chaîne sont des certificats CA valides a été écrasé. Cela contourne efficacement la vérification selon laquelle les certificats non CA ne doivent pas être en mesure d'émettre d'autres certificats. »

Ce problème affecte uniquement les applications qui définissent explicitement le X509_V_FLAG_X509_STRICT flag (non défini par défaut) et «soit ne pas définir d'objet pour la vérification du certificat, soit, dans le cas de TLS applications client ou serveur, remplacez l’objectif par défaut. »

Cette vulnérabilité affecte les versions OpenSSL 1.1.1h et plus récentes, et les utilisateurs de ces versions doivent passer à la version 1.1.1k.

Pointeur NULL déréf dans le traitement signature_algorithms (CVE-2021-3449)

Résumé: Cette vulnérabilité permet à un attaquant de planter un OpenSSL TLS serveur en envoyant un message ClientHello conçu de manière malveillante: «Si un TLSRenégociation v1.2 ClientHello omet l'extension signature_algorithms (où elle était présente dans le ClientHello initial), mais inclut une extension signature_algorithms_cert, puis une déréférence de pointeur NULL en résultera, conduisant à un crash et une attaque par déni de service. »

Un serveur est vulnérable s'il a TLSv1.2 et renégociation activée, la configuration par défaut. Tout Les versions d'OpenSSL 1.1.1 sont affectées par ce problème et les utilisateurs de ces versions doivent passer à la version 1.1.1k.

 

SSL.com encourage tous les utilisateurs d'OpenSSL à consulter l'intégralité consultatif et mettre à jour leurs installations vers OpenSSL 1.1.1k s'ils exécutent une version affectée par l'une de ces vulnérabilités ou les deux. Comme toujours, n'hésitez pas à contacter l'équipe d'assistance SSL.com au Support@SSL.com, 1-877-SSL-SECURE, ou via le lien de chat sur cette page.

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com