Ассоциация OpenSSL проект издал обеспечение безопасности 25 марта 2021 года с описанием двух уязвимостей высокой степени опасности:
Обход проверки сертификата CA с помощью X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Резюме: Ошибка в реализации проверок безопасности, включенных X509_V_FLAG_X509_STRICT
флаг «означает, что результат предыдущей проверки, подтверждающей, что сертификаты в цепочке являются действительными сертификатами CA, был перезаписан. Это эффективно обходит проверку того, что сертификаты, не относящиеся к CA, не должны выдавать другие сертификаты ».
Эта проблема затрагивает только приложения, которые явно задают X509_V_FLAG_X509_STRICT
флаг (не установлен по умолчанию) и «либо не устанавливают цель для проверки сертификата, либо, в случае TLS клиентские или серверные приложения переопределяют цель по умолчанию ».
Эта уязвимость затрагивает версии OpenSSL 1.1.1h и новее, и пользователям этих версий следует выполнить обновление до версии 1.1.1k.
Deref указателя NULL при обработке алгоритмов подписи (CVE-2021-3449)
Резюме: Эта уязвимость позволяет злоумышленнику вывести из строя OpenSSL. TLS сервер, отправив вредоносное сообщение ClientHello: «Если TLSv1.2 повторное согласование ClientHello опускает расширение signature_algorithms (там, где оно присутствовало в исходном ClientHello), но включает расширение signature_algorithms_cert, в результате чего произойдет разыменование указателя NULL, что приведет к сбою и атаке отказа в обслуживании ».
Сервер уязвим, если на нем TLSv1.2 и повторное согласование включено, конфигурация по умолчанию. Все Эта проблема затрагивает версии OpenSSL 1.1.1, и пользователям этих версий следует выполнить обновление до версии 1.1.1k.