この OpenSSLプロジェクト 発行した セキュリティ勧告 25年2021月XNUMX日に、XNUMXつの重大度の高い脆弱性について詳しく説明します。
X509_V_FLAG_X509_STRICT(CVE-2021-3450)を使用したCA証明書チェックバイパス
概要 によって有効化されたセキュリティチェックの実装のエラー X509_V_FLAG_X509_STRICT
フラグ「チェーン内の証明書が有効なCA証明書であることを確認するための以前のチェックの結果が上書きされたことを意味します。 これにより、CA以外の証明書が他の証明書を発行できないようにする必要があるというチェックが事実上バイパスされます。」
この問題は、明示的に設定するアプリケーションにのみ影響します。 X509_V_FLAG_X509_STRICT
フラグ(デフォルトでは設定されていません)および「証明書検証の目的を設定していないか、または TLS クライアントまたはサーバーアプリケーションは、デフォルトの目的を上書きします。」
この脆弱性はOpenSSLバージョン1.1.1h以降に影響を与えるため、これらのバージョンのユーザーはバージョン1.1.1kにアップグレードする必要があります。
Signature_algorithms処理でのNULLポインターの参照解除(CVE-2021-3449)
概要 この脆弱性により、攻撃者はOpenSSLをクラッシュさせることができます TLS 悪意を持って作成されたClientHelloメッセージを送信することにより、サーバーは次のようになります。 TLSv1.2再ネゴシエーションClientHelloはsignature_algorithms拡張機能(最初のClientHelloに存在していた)を省略しますが、signature_algorithms_cert拡張機能を含むと、NULLポインター逆参照が発生し、クラッシュとサービス拒否攻撃につながります。」
サーバーが脆弱である場合 TLSv1.2および再ネゴシエーションが有効、デフォルト構成。 すべて OpenSSL 1.1.1バージョンはこの問題の影響を受けるため、これらのバージョンのユーザーはバージョン1.1.1kにアップグレードする必要があります。