Schwachstelle: CVE-2021-3450

Das Flag X509_V_FLAG_X509_STRICT ermöglicht zusätzliche Sicherheitsüberprüfungen der in einer Zertifikatskette vorhandenen Zertifikate. Es ist standardmäßig nicht gesetzt. Ab OpenSSL-Version 1.1.1h wurde als zusätzliche strenge Prüfung eine Prüfung hinzugefügt, um Zertifikate in der Kette zu verbieten, die explizit kodierte elliptische Kurvenparameter haben. Ein Fehler in der Implementierung dieser Prüfung führte dazu, dass das Ergebnis einer vorherigen Prüfung, die bestätigt, dass Zertifikate in der Kette gültige CA-Zertifikate sind, überschrieben wurde. Dadurch wird die Prüfung, dass Nicht-CA-Zertifikate keine anderen Zertifikate ausstellen können, effektiv umgangen. Wenn ein ""Zweck"" konfiguriert wurde, gibt es eine nachfolgende Möglichkeit zur Überprüfung, ob das Zertifikat eine gültige CA ist. Alle in libcrypto implementierten benannten ""purpose""-Werte führen diese Prüfung durch. Daher wird die Zertifikatskette auch dann abgelehnt, wenn ein Zweck gesetzt ist, auch wenn das strict-Flag verwendet wurde. Ein Zweck ist standardmäßig in den libssl-Client- und -Server-Zertifikatsprüfungsroutinen gesetzt, kann aber von einer Anwendung außer Kraft gesetzt oder entfernt werden. Um betroffen zu sein, muss eine Anwendung explizit das Verifizierungsflag X509_V_FLAG_X509_STRICT setzen und entweder keinen Zweck für die Zertifikatsverifizierung setzen oder, im Fall von TLS-Client- oder -Server-Anwendungen, den Standardzweck überschreiben. OpenSSL-Versionen 1.1.1h und neuer sind von diesem Problem betroffen. Benutzer dieser Versionen sollten ein Upgrade auf OpenSSL 1.1.1k durchführen. OpenSSL 1.0.2 ist von diesem Problem nicht betroffen. Behoben in OpenSSL 1.1.1k (Betroffen sind 1.1.1h-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450


Es ist möglich, einen Kommentar als registrierter Benutzer der Seite zu hinterlassen, über soziale Netzwerke, ein Wordpress-Konto oder als anonymer Benutzer zuzugreifen. Wenn Sie einen Kommentar als anonymer Benutzer hinterlassen möchten, werden Sie nur dann per E-Mail über eine mögliche Antwort benachrichtigt, wenn Sie Ihre E-Mail-Adresse angeben (optional). Die Angabe von Daten in den Kommentarfeldern ist völlig optional. Jeder, der sich entscheidet, Daten einzugeben, akzeptiert die Behandlung dieser für die Zwecke, die dem Service oder der Beantwortung des Kommentars und der Kommunikation unbedingt erforderlich sind.


Kommentar verfassen