Представители проекта OpenSSL объявили о выпуске исправлений по двум уязвимостям критического уровня серьезности (CVE-2021-3449 и CVE-2021-3450), которые скрываются в продуктах OpenSSL.
OpenSSL представляет собой полноценную криптографическую библиотеку с открытым исходным кодом, получившую широкое распространение из-за расширения SSL/TLS, активно применяемого в протоколе HTTPS.
Ранее были обнаружены следующие уязвимости:
- CVE-2021-3449. Ошибка отказа в обслуживании (DoS) из-за разыменования нулевого указателя, влияющая на экземпляры сервера OpenSSL, но не на клиентов.
- CVE-2021-3450. Уязвимость при проверке сертификатов центра сертификации, оказывающая влияние на сервер и клиентские экземпляры.
Уязвимость DoS (CVE-2021-3449) на сервере OpenSSL TLS потенциально способна вызвать сбой сервера, если во время повторного согласования клиент отправляет вредоносное сообщение ClientHello. «Если ClientHello с повторным согласованием TLSv1.2 опускает расширение signature_algorithms (там, где оно присутствовало в исходном ClientHello), но включает расширение signature_algorithms_cert, то разыменование указателя NULL приводит к сбою и атаке DoS», – сказано в сообщении команды OpenSSL.
Уязвимость актуальна только серверов OpenSSL с версиями от 1.1.1 до 1.1.1j включительно, на которых запущены TLSv1.2 и повторное согласование.
Уязвимость обхода проверки сертификатов центра сертификации (CA) CVE-2021-3450 связана с X509_V_FLAG_X509_STRICT. Этой уязвимости подвержены OpenSSL версии 1.1.1h и выше (за исключением исправленного выпуска 1.1.1k), потому что в этих версиях флаг X509_V_FLAG_X509_STRICT не установлен по умолчанию.
Ни одна из уязвимостей не влияет на OpenSSL 1.0.2. Обе уязвимости исправлены в OpenSSL 1.1.1k, и пользователям рекомендуется обновиться до этой версии.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
