Vulnerabilità: CVE-2021-3449

Un server TLS OpenSSL può andare in crash se gli viene inviato un messaggio ClientHello di rinegoziazione mal fatto da un client. Se un ClientHello di rinegoziazione TLSv1.2 omette l’estensione signature_algorithms (dove era presente nel ClientHello iniziale), ma include un’estensione signature_algorithms_cert, allora si verificherà un dereference del puntatore NULL, portando ad un crash e ad un attacco denial of service. Un server è vulnerabile solo se ha TLSv1.2 e la rinegoziazione abilitata (che è la configurazione predefinita). I client TLS OpenSSL non sono interessati da questo problema. Tutte le versioni di OpenSSL 1.1.1 sono interessate da questo problema. Gli utenti di queste versioni dovrebbero aggiornare a OpenSSL 1.1.1k. OpenSSL 1.0.2 non è influenzato da questo problema. Risolto in OpenSSL 1.1.1k (interessato 1.1.1-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://www.debian.org/security/2021/dsa-4875
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi