Opona Projekt OpenSSL wydane a doradztwo bezpieczeństwa 25 marca 2021 r. z wyszczególnieniem dwóch luk w zabezpieczeniach o dużym znaczeniu:
Obejście sprawdzania certyfikatu CA z X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Podsumowanie: Błąd w implementacji kontroli bezpieczeństwa włączonej przez X509_V_FLAG_X509_STRICT
flaga “oznaczała, że wynik poprzedniego sprawdzenia w celu potwierdzenia, że certyfikaty w łańcuchu są ważne, został nadpisany. To skutecznie omija sprawdzenie, czy certyfikaty inne niż CA nie mogą być w stanie wystawić innych certyfikatów. ”
Ten problem dotyczy tylko aplikacji, które jawnie ustawiają X509_V_FLAG_X509_STRICT
flaga (domyślnie nie jest ustawiona) i „albo nie określają celu weryfikacji certyfikatu, albo, w przypadku TLS aplikacje klienckie lub serwerowe, zastąp domyślny cel ”.
Ta luka dotyczy OpenSSL w wersji 1.1.1h i nowszych, a użytkownicy tych wersji powinni dokonać aktualizacji do wersji 1.1.1k.
Deref wskaźnika NULL w przetwarzaniu algorytmów podpisu (CVE-2021-3449)
Podsumowanie: Ta luka umożliwia osobie atakującej awarię OpenSSL TLS serwer, wysyłając złośliwie spreparowany komunikat ClientHello: „Jeśli a TLSRenegocjacja v1.2 ClientHello pomija rozszerzenie signature_algorithms (tam, gdzie było obecne w początkowym ClientHello), ale zawiera rozszerzenie signature_algorithms_cert, co skutkuje wyłuskiwaniem wskaźnika NULL, co prowadzi do awarii i ataku typu „odmowa usługi”. ”
Serwer jest podatny na ataki, jeśli tak TLSv1.2 i renegocjacja włączona, konfiguracja domyślna. Wszystkie kategorie Ten problem dotyczy wersji OpenSSL 1.1.1, a użytkownicy tych wersji powinni dokonać aktualizacji do wersji 1.1.1k.