Vulnérabilité: CVE-2021-3450

Le drapeau X509_V_FLAG_X509_STRICT permet d’effectuer des contrôles de sécurité supplémentaires sur les certificats présents dans une chaîne de certificats. Il n’est pas activé par défaut. A partir de la version 1.1.1h d’OpenSSL, une vérification pour interdire les certificats dans la chaîne qui ont des paramètres de courbe elliptique explicitement encodés a été ajoutée comme une vérification stricte supplémentaire. Une erreur dans l’implémentation de cette vérification signifiait que le résultat d’une vérification précédente pour confirmer que les certificats dans la chaîne sont des certificats CA valides était écrasé. Cela permet de contourner la vérification selon laquelle les certificats non CA ne doivent pas être en mesure d’émettre d’autres certificats. Si un "but" a été configuré, il y a une possibilité ultérieure de vérifier que le certificat est une AC valide. Toutes les valeurs nommées ""purpose"" implémentées dans libcrypto effectuent cette vérification. Par conséquent, lorsqu’un objectif est défini, la chaîne de certificats sera toujours rejetée même si l’indicateur strict a été utilisé. Un objectif est défini par défaut dans les routines de vérification des certificats du client et du serveur libssl, mais il peut être remplacé ou supprimé par une application. Pour être affectée, une application doit explicitement définir le drapeau de vérification X509_V_FLAG_X509_STRICT et ne pas définir de but pour la vérification du certificat ou, dans le cas des applications client ou serveur TLS, remplacer le but par défaut. Les versions 1.1.1h et plus récentes d’OpenSSL sont concernées par ce problème. Les utilisateurs de ces versions doivent effectuer une mise à jour vers OpenSSL 1.1.1k. OpenSSL 1.0.2 n’est pas affecté par ce problème. Corrigé dans OpenSSL 1.1.1k (Affecté 1.1.1h-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire