I Progetto OpenSSL rilasciato a consulenza sulla sicurezza il 25 marzo 2021 specificando in dettaglio due vulnerabilità ad alta gravità:
Bypass del controllo del certificato CA con X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Sommario: Un errore nell'implementazione dei controlli di sicurezza abilitati da X509_V_FLAG_X509_STRICT flag "significava che il risultato di un controllo precedente per confermare che i certificati nella catena sono certificati CA validi è stato sovrascritto. Ciò aggira efficacemente il controllo che i certificati non CA non devono essere in grado di emettere altri certificati. "
Questo problema riguarda solo le applicazioni che impostano esplicitamente l'estensione X509_V_FLAG_X509_STRICT flag (non impostato di default) e “o non ha impostato uno scopo per la verifica del certificato o, nel caso di TLS applicazioni client o server, sovrascrivere lo scopo predefinito ".
Questa vulnerabilità interessa le versioni di OpenSSL 1.1.1he successive e gli utenti di queste versioni devono eseguire l'aggiornamento alla versione 1.1.1k.
Deref puntatore NULL nell'elaborazione signature_algorithms (CVE-2021-3449)
Sommario: Questa vulnerabilità consente a un utente malintenzionato di bloccare un OpenSSL TLS server inviando un messaggio ClientHello pericoloso: "Se un file TLSv1.2 rinegoziazione ClientHello omette l'estensione signature_algorithms (dove era presente nell'iniziale ClientHello), ma include un'estensione signature_algorithms_cert, quindi una dereferenziazione del puntatore NULL si tradurrà in un arresto anomalo e un attacco denial of service. "
Un server è vulnerabile se lo è TLSv1.2 e rinegoziazione abilitata, la configurazione predefinita. Tutti Le versioni di OpenSSL 1.1.1 sono interessate da questo problema e gli utenti di queste versioni devono eseguire l'aggiornamento alla versione 1.1.1k.
