Vulnerabilidad: CVE-2021-3450

El indicador X509_V_FLAG_X509_STRICT permite realizar comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. No está establecido por defecto. A partir de la versión 1.1.1h de OpenSSL, se añadió como comprobación estricta adicional la de no permitir certificados en la cadena que tengan parámetros de curva elíptica codificados explícitamente. Un error en la implementación de esta comprobación significaba que el resultado de una comprobación anterior para confirmar que los certificados de la cadena son certificados de CA válidos se sobrescribía. De este modo, se omite la comprobación de que los certificados que no son de CA no deben poder emitir otros certificados. Si se ha configurado un ""propósito"", existe la posibilidad de comprobar posteriormente que el certificado es una CA válida. Todos los valores ""purpose"" implementados en libcrypto realizan esta comprobación. Por lo tanto, cuando se establece un propósito, la cadena de certificados seguirá siendo rechazada incluso cuando se haya utilizado la bandera estricta. Se establece un propósito por defecto en las rutinas de verificación de certificados de cliente y servidor de libssl, pero puede ser anulado o eliminado por una aplicación. Para que se vea afectada, una aplicación debe establecer explícitamente el indicador de verificación X509_V_FLAG_X509_STRICT y no establecer un propósito para la verificación de certificados o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito por defecto. Este problema afecta a las versiones 1.1.1h y posteriores de OpenSSL. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1k. OpenSSL 1.0.2 no se ve afectado por este problema. Corregido en OpenSSL 1.1.1k (Afectado 1.1.1h-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450


Es posible dejar un comentario como usuario registrado del sitio, accediendo a través de las redes sociales, la cuenta de wordpress o como usuarios anónimos. Si desea dejar un comentario como usuario anónimo, se le notificará por correo electrónico una posible respuesta sólo si introduce su dirección de correo electrónico (opcional). La inclusión de cualquier dato en los campos de comentario es totalmente opcional. Quien decida introducir algún dato acepta el tratamiento de los mismos para las finalidades inherentes al servicio o la respuesta a los comentarios y comunicaciones estrictamente necesarias.


Deja un comentario