O Projeto OpenSSL emitiu um assessoria de segurança em 25 de março de 2021 detalhando duas vulnerabilidades de alta gravidade:
Ignorar a verificação do certificado CA com X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Resumo: Um erro na implementação de verificações de segurança habilitadas pelo X509_V_FLAG_X509_STRICT
sinalizador “significa que o resultado de uma verificação anterior para confirmar que os certificados na cadeia são certificados CA válidos foi sobrescrito. Isso efetivamente ignora a verificação de que os certificados não-CA não podem emitir outros certificados. ”
Este problema afeta apenas os aplicativos que definem explicitamente o X509_V_FLAG_X509_STRICT
sinalizador (não definido por padrão) e "ou não definir uma finalidade para a verificação do certificado ou, no caso de TLS aplicativos de cliente ou servidor, substitua a finalidade padrão. ”
Esta vulnerabilidade afeta as versões 1.1.1h e mais recentes do OpenSSL, e os usuários dessas versões devem atualizar para a versão 1.1.1k.
Deref de ponteiro NULL no processamento de signature_algorithms (CVE-2021-3449)
Resumo: Esta vulnerabilidade permite que um invasor bloqueie um OpenSSL TLS servidor enviando uma mensagem ClientHello criada com códigos maliciosos: “If a TLSv1.2 renegociação ClientHello omite a extensão signature_algorithms (onde estava presente no ClientHello inicial), mas inclui uma extensão signature_algorithms_cert, em seguida, resultará em uma desreferência do ponteiro NULL, levando a um travamento e um ataque de negação de serviço. ”
Um servidor é vulnerável se tiver TLSv1.2 e renegociação ativada, a configuração padrão. Todos os Produtos As versões do OpenSSL 1.1.1 são afetadas por esse problema e os usuários dessas versões devem atualizar para a versão 1.1.1k.