en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Aviso de segurança OpenSSL: Vulnerabilidades de gravidade alta corrigidas na versão 1.1.1k

A Projeto OpenSSL emitiu um assessoria de segurança em 25 de março de 2021 detalhando duas vulnerabilidades de alta gravidade:

Ignorar a verificação do certificado CA com X509_V_FLAG_X509_STRICT (CVE-2021-3450)

Resumo: Um erro na implementação de verificações de segurança habilitadas pelo X509_V_FLAG_X509_STRICT sinalizador “significa que o resultado de uma verificação anterior para confirmar que os certificados na cadeia são certificados CA válidos foi sobrescrito. Isso efetivamente ignora a verificação de que os certificados não-CA não podem emitir outros certificados. ”

Este problema afeta apenas os aplicativos que definem explicitamente o X509_V_FLAG_X509_STRICT sinalizador (não definido por padrão) e "ou não definir uma finalidade para a verificação do certificado ou, no caso de TLS aplicativos de cliente ou servidor, substitua a finalidade padrão. ”

Esta vulnerabilidade afeta as versões 1.1.1h e mais recentes do OpenSSL, e os usuários dessas versões devem atualizar para a versão 1.1.1k.

Deref de ponteiro NULL no processamento de signature_algorithms (CVE-2021-3449)

Resumo: Esta vulnerabilidade permite que um invasor bloqueie um OpenSSL TLS servidor enviando uma mensagem ClientHello criada com códigos maliciosos: “If a TLSv1.2 renegociação ClientHello omite a extensão signature_algorithms (onde estava presente no ClientHello inicial), mas inclui uma extensão signature_algorithms_cert, em seguida, resultará em uma desreferência do ponteiro NULL, levando a um travamento e um ataque de negação de serviço. ”

Um servidor é vulnerável se tiver TLSv1.2 e renegociação ativada, a configuração padrão. Todos As versões do OpenSSL 1.1.1 são afetadas por esse problema e os usuários dessas versões devem atualizar para a versão 1.1.1k.

 

SSL.com incentiva todos os usuários OpenSSL a revisar o completo consultivo e atualizar suas instalações para OpenSSL 1.1.1k se estiverem executando uma versão afetada por uma ou ambas as vulnerabilidades. Como sempre, sinta-se à vontade para entrar em contato com a equipe de suporte SSL.com em Support@SSL.com, 1-877-SSL-SECURE, ou através do link de bate-papo nesta página.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com