OpenSSLセキュリティアドバイザリ:バージョン1.1.1kで修正された重大度の高い脆弱性

OpenSSLプロジェクトは、25年2021月XNUMX日に、XNUMXつの重大度の高い脆弱性を詳述したセキュリティアドバイザリを発行しました。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

この OpenSSLプロジェクト 発行した セキュリティ勧告 25年2021月XNUMX日に、XNUMXつの重大度の高い脆弱性について詳しく説明します。

X509_V_FLAG_X509_STRICT(CVE-2021-3450)を使用したCA証明書チェックバイパス

概要 によって有効化されたセキュリティチェックの実装のエラー X509_V_FLAG_X509_STRICT フラグ「チェーン内の証明書が有効なCA証明書であることを確認するための以前のチェックの結果が上書きされたことを意味します。 これにより、CA以外の証明書が他の証明書を発行できないようにする必要があるというチェックが事実上バイパスされます。」

この問題は、明示的に設定するアプリケーションにのみ影響します。 X509_V_FLAG_X509_STRICT フラグ(デフォルトでは設定されていません)および「証明書検証の目的を設定していないか、または TLS クライアントまたはサーバーアプリケーションは、デフォルトの目的を上書きします。」

この脆弱性はOpenSSLバージョン1.1.1h以降に影響を与えるため、これらのバージョンのユーザーはバージョン1.1.1kにアップグレードする必要があります。

Signature_algorithms処理でのNULLポインターの参照解除(CVE-2021-3449)

概要 この脆弱性により、攻撃者はOpenSSLをクラッシュさせることができます TLS 悪意を持って作成されたClientHelloメッセージを送信することにより、サーバーは次のようになります。 TLSv1.2再ネゴシエーションClientHelloはsignature_algorithms拡張機能(最初のClientHelloに存在していた)を省略しますが、signature_algorithms_cert拡張機能を含むと、NULLポインター逆参照が発生し、クラッシュとサービス拒否攻撃につながります。」

サーバーが脆弱である場合 TLSv1.2および再ネゴシエーションが有効、デフォルト構成。 すべて OpenSSL 1.1.1バージョンはこの問題の影響を受けるため、これらのバージョンのユーザーはバージョン1.1.1kにアップグレードする必要があります。

 

SSL.comは、すべてのOpenSSLユーザーが完全なものを確認することを推奨しています アドバイザリー これらの脆弱性のいずれかまたは両方の影響を受けるバージョンを実行している場合は、インストールをOpenSSL1.1.1kに更新します。 いつものように、SSL.comサポートチームに連絡してください。 Support@SSL.com, 1-877-SSL-SECURE、またはこのページのチャットリンクを介して。

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。