Smakämnen OpenSSL-projekt utfärdade a säkerhetsrådgivande den 25 mars 2021 som beskriver två svårighetsgraden:
CA-förbikoppling med X509_V_FLAG_X509_STRICT (CVE-2021-3450)
Sammanfattning: Ett fel i genomförandet av säkerhetskontroller aktiverat av X509_V_FLAG_X509_STRICT
flagga ”innebar att resultatet av en tidigare kontroll för att bekräfta att certifikat i kedjan är giltiga CA-certifikat skrivits över. Detta kringgår effektivt kontrollen att icke-CA-certifikat inte får kunna utfärda andra certifikat. ”
Det här problemet påverkar endast applikationer som uttryckligen ställer in X509_V_FLAG_X509_STRICT
flagga (inte inställt som standard) och ”antingen inte ange ett syfte för certifikatverifiering eller, i fallet med TLS klient- eller serverapplikationer, åsidosätter standardmålet. ”
Denna sårbarhet påverkar OpenSSL-versioner 1.1.1h och senare, och användare av dessa versioner bör uppgradera till version 1.1.1k.
NULL-pekare deref i signatur_algoritmebehandling (CVE-2021-3449)
Sammanfattning: Denna sårbarhet gör det möjligt för en angripare att krascha en OpenSSL TLS server genom att skicka ett skadligt ClientHello-meddelande: “Om en TLSv1.2 omförhandling ClientHello utelämnar förlängningen signature_algorithms (där den fanns i den ursprungliga ClientHello), men innehåller en signatur_algorithms_cert-förlängning, då kommer en NULL-pekardereferens att resultera, vilket leder till en krasch och en förnekelse av tjänsteattack. ”
En server är sårbar om den har TLSv1.2 och omförhandling aktiverad, standardkonfigurationen. Alla OpenSSL 1.1.1-versioner påverkas av detta problem, och användare av dessa versioner bör uppgradera till version 1.1.1k.