Avviso di sicurezza OpenSSL: vulnerabilità ad alta gravità risolte nella versione 1.1.1k

Il progetto OpenSSL ha emesso un avviso di sicurezza il 25 marzo 2021 che descrive in dettaglio due vulnerabilità ad alta gravità.

Contenuto relativo

Vuoi continuare a imparare?

Iscriviti alla newsletter di SSL.com, rimani informato e sicuro.

La Progetto OpenSSL rilasciato a consulenza sulla sicurezza il 25 marzo 2021 specificando in dettaglio due vulnerabilità ad alta gravità:

Bypass del controllo del certificato CA con X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Sommario: Un errore nell'implementazione dei controlli di sicurezza abilitati da X509_V_FLAG_X509_STRICT flag "significava che il risultato di un controllo precedente per confermare che i certificati nella catena sono certificati CA validi è stato sovrascritto. Ciò aggira efficacemente il controllo che i certificati non CA non devono essere in grado di emettere altri certificati. "

Questo problema riguarda solo le applicazioni che impostano esplicitamente l'estensione X509_V_FLAG_X509_STRICT flag (non impostato di default) e “o non ha impostato uno scopo per la verifica del certificato o, nel caso di TLS applicazioni client o server, sovrascrivere lo scopo predefinito ".

Questa vulnerabilità interessa le versioni di OpenSSL 1.1.1he successive e gli utenti di queste versioni devono eseguire l'aggiornamento alla versione 1.1.1k.

Deref puntatore NULL nell'elaborazione signature_algorithms (CVE-2021-3449)

Sommario: Questa vulnerabilità consente a un utente malintenzionato di bloccare un OpenSSL TLS server inviando un messaggio ClientHello pericoloso: "Se un file TLSv1.2 rinegoziazione ClientHello omette l'estensione signature_algorithms (dove era presente nell'iniziale ClientHello), ma include un'estensione signature_algorithms_cert, quindi una dereferenziazione del puntatore NULL si tradurrà in un arresto anomalo e un attacco denial of service. "

Un server è vulnerabile se lo è TLSv1.2 e rinegoziazione abilitata, la configurazione predefinita. Tutto Le versioni di OpenSSL 1.1.1 sono interessate da questo problema e gli utenti di queste versioni devono eseguire l'aggiornamento alla versione 1.1.1k.

 

SSL.com incoraggia tutti gli utenti di OpenSSL a rivedere il file completo consultivo e aggiornare le loro installazioni a OpenSSL 1.1.1k se eseguono una versione affetta da una o entrambe queste vulnerabilità. Come sempre, non esitare a contattare il team di supporto di SSL.com all'indirizzo Support@SSL.com, 1-877-SSL-SECUREo tramite il collegamento alla chat in questa pagina.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.