Grafik Proyek OpenSSL mengeluarkan a penasehat keamanan pada 25 Maret 2021 merinci dua kerentanan dengan tingkat keparahan tinggi:
Bypass pemeriksaan sertifikat CA dengan X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Ringkasan: Kesalahan dalam pelaksanaan pemeriksaan keamanan yang diaktifkan oleh X509_V_FLAG_X509_STRICT bendera “berarti bahwa hasil pemeriksaan sebelumnya untuk mengkonfirmasi bahwa sertifikat dalam rantai adalah sertifikat CA yang valid telah ditimpa. Ini secara efektif mengabaikan pemeriksaan bahwa sertifikat non-CA tidak boleh mengeluarkan sertifikat lain. ”
Masalah ini hanya memengaruhi aplikasi yang secara eksplisit menyetel X509_V_FLAG_X509_STRICT bendera (tidak disetel secara default) dan "tidak disetel sebagai tujuan untuk verifikasi sertifikat atau, dalam kasus TLS aplikasi klien atau server, ganti tujuan default. "
Kerentanan ini memengaruhi OpenSSL verions 1.1.1h dan yang lebih baru, dan pengguna versi ini harus meningkatkan ke versi 1.1.1k.
NULL pointer deref dalam pemrosesan signature_algorithms (CVE-2021-3449)
Ringkasan: Kerentanan ini memungkinkan penyerang merusak OpenSSL TLS server dengan mengirimkan pesan ClientHello perusak yang berbahaya: “If a TLSv1.2 renegotiation ClientHello menghilangkan ekstensi signature_algorithms (yang sudah ada di awal ClientHello), tetapi menyertakan ekstensi signature_algorithms_cert maka akan dihasilkan dereferensi penunjuk NULL, yang menyebabkan crash dan penolakan serangan layanan. ”
Sebuah server rentan jika ada TLSv1.2 dan negosiasi ulang diaktifkan, konfigurasi default. Semua Versi OpenSSL 1.1.1 dipengaruhi oleh masalah ini, dan pengguna versi ini harus meningkatkan ke versi 1.1.1k.
