特 OpenSSL项目 发出了 安全咨询 25年2021月XNUMX日详细介绍了两个高严重性漏洞:
使用X509_V_FLAG_X509_STRICT的CA证书检查旁路(CVE-2021-3450)
概要: 在实施安全检查时出现错误,由 X509_V_FLAG_X509_STRICT
“标志”表示先前检查以确认链中的证书是有效的CA证书的结果已被覆盖。 这有效地绕过了非CA证书一定不能颁发其他证书的检查。”
此问题仅影响明确设置了 X509_V_FLAG_X509_STRICT
标志(默认情况下未设置)和“或者未设置证书验证的目的,或者 TLS 客户端或服务器应用程序,请覆盖默认用途。”
此漏洞影响1.1.1h及更高版本的OpenSSL版本,这些版本的用户应升级到1.1.1k版。
signature_algorithms处理(CVE-2021-3449)中的NULL指针反引用
概要: 此漏洞允许攻击者使OpenSSL崩溃 TLS 通过发送恶意制作的ClientHello消息来访问服务器: TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中已存在),但包括了signature_algorithms_cert扩展名,因此将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。”
如果服务器具有以下特征,则容易受到攻击: TLSv1.2和重新协商已启用,默认配置。 全部 OpenSSL 1.1.1版本受此问题影响,这些版本的用户应升级到1.1.1k版本。
SSL.com鼓励所有OpenSSL用户查看完整的 advisory 如果它们运行的版本受这些漏洞中的一个或两个影响,请将其安装更新为OpenSSL 1.1.1k。 与往常一样,请随时通过以下网址与SSL.com支持团队联系: Support@SSL.com, 1-877-SSL-SECURE,或通过此页面上的聊天链接。