Aviso de segurança OpenSSL: Vulnerabilidades de gravidade alta corrigidas na versão 1.1.1k

O projeto OpenSSL emitiu um comunicado de segurança em 25 de março de 2021 detalhando duas vulnerabilidades de alta gravidade.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

O Projeto OpenSSL emitiu um assessoria de segurança em 25 de março de 2021 detalhando duas vulnerabilidades de alta gravidade:

Ignorar a verificação do certificado CA com X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Resumo: Um erro na implementação de verificações de segurança habilitadas pelo X509_V_FLAG_X509_STRICT sinalizador “significa que o resultado de uma verificação anterior para confirmar que os certificados na cadeia são certificados CA válidos foi sobrescrito. Isso efetivamente ignora a verificação de que os certificados não-CA não podem emitir outros certificados. ”

Este problema afeta apenas os aplicativos que definem explicitamente o X509_V_FLAG_X509_STRICT sinalizador (não definido por padrão) e "ou não definir uma finalidade para a verificação do certificado ou, no caso de TLS aplicativos de cliente ou servidor, substitua a finalidade padrão. ”

Esta vulnerabilidade afeta as versões 1.1.1h e mais recentes do OpenSSL, e os usuários dessas versões devem atualizar para a versão 1.1.1k.

Deref de ponteiro NULL no processamento de signature_algorithms (CVE-2021-3449)

Resumo: Esta vulnerabilidade permite que um invasor bloqueie um OpenSSL TLS servidor enviando uma mensagem ClientHello criada com códigos maliciosos: “If a TLSv1.2 renegociação ClientHello omite a extensão signature_algorithms (onde estava presente no ClientHello inicial), mas inclui uma extensão signature_algorithms_cert, em seguida, resultará em uma desreferência do ponteiro NULL, levando a um travamento e um ataque de negação de serviço. ”

Um servidor é vulnerável se tiver TLSv1.2 e renegociação ativada, a configuração padrão. Todos os Produtos As versões do OpenSSL 1.1.1 são afetadas por esse problema e os usuários dessas versões devem atualizar para a versão 1.1.1k.

 

SSL.com incentiva todos os usuários OpenSSL a revisar o completo consultivo e atualizar suas instalações para OpenSSL 1.1.1k se estiverem executando uma versão afetada por uma ou ambas as vulnerabilidades. Como sempre, sinta-se à vontade para entrar em contato com a equipe de suporte SSL.com em Support@SSL.com, 1-877-SSL-SECURE, ou através do link de bate-papo nesta página.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.