De OpenSSL-prosjekt utstedt en sikkerhetsrådgivende 25. mars 2021 med to sårbarheter med høy alvorlighetsgrad:
Omgåelse av CA-sertifikatkontroll med X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Sammendrag: En feil i implementeringen av sikkerhetskontroller aktivert av X509_V_FLAG_X509_STRICT flagg “betydde at resultatet av en tidligere kontroll for å bekrefte at sertifikater i kjeden er gyldige CA-sertifikater ble overskrevet. Dette omgår effektivt kontrollen av at ikke-CA-sertifikater ikke må kunne utstede andre sertifikater. "
Dette problemet berører bare applikasjoner som eksplisitt angir X509_V_FLAG_X509_STRICT flagg (ikke angitt som standard) og “enten ikke angi et formål for sertifikatbekreftelsen, eller, i tilfelle TLS klient- eller serverapplikasjoner, overstyre standardformålet. ”
Dette sikkerhetsproblemet påvirker OpenSSL-versjoner 1.1.1h og nyere, og brukere av disse versjonene bør oppgradere til versjon 1.1.1k.
NULL-peker deref i signatur_algoritmebehandling (CVE-2021-3449)
Sammendrag: Denne sårbarheten gjør det mulig for en angriper å krasje en OpenSSL TLS server ved å sende en skadelig ClientHello-melding: “Hvis en TLSv1.2 reforhandling ClientHello utelater signatur_algorithms-utvidelsen (der den var til stede i den opprinnelige ClientHello), men inkluderer en signatur_algorithms_cert-utvidelse, og en NULL-pekereferanse vil resultere, noe som fører til et krasj og en denial of service-angrep. ”
En server er sårbar hvis den har det TLSv1.2 og reforhandling aktivert, standardkonfigurasjonen. Alle OpenSSL 1.1.1-versjoner påvirkes av dette problemet, og brukere av disse versjonene bør oppgradere til versjon 1.1.1k.
