Vulnerabilità: CVE-2021-3450

Il flag X509_V_FLAG_X509_STRICT abilita ulteriori controlli di sicurezza dei certificati presenti in una catena di certificati. Non è impostato di default. A partire dalla versione 1.1.1h di OpenSSL è stato aggiunto un controllo per non consentire i certificati nella catena che hanno parametri di curve ellittiche esplicitamente codificati, come un ulteriore controllo rigoroso. Un errore nell’implementazione di questo controllo ha fatto sì che il risultato di un precedente controllo per confermare che i certificati nella catena sono certificati CA validi sia stato sovrascritto. Questo bypassa efficacemente il controllo che i certificati non CA non devono essere in grado di emettere altri certificati. Se è stato configurato uno ""scopo"", allora c’è una successiva possibilità di controllare che il certificato sia una CA valida. Tutti i valori denominati ""purpose"" implementati in libcrypto eseguono questo controllo. Pertanto, quando uno scopo è impostato, la catena di certificati sarà comunque rifiutata anche quando è stato usato il flag strict. Uno scopo è impostato di default nelle routine di verifica dei certificati di libssl client e server, ma può essere sovrascritto o rimosso da un’applicazione. Per essere interessata, un’applicazione deve impostare esplicitamente il flag di verifica X509_V_FLAG_X509_STRICT e non impostare uno scopo per la verifica del certificato o, nel caso di applicazioni client o server TLS, sovrascrivere lo scopo predefinito. Le versioni OpenSSL 1.1.1h e più recenti sono affette da questo problema. Gli utenti di queste versioni dovrebbero aggiornare a OpenSSL 1.1.1k. OpenSSL 1.0.2 non è interessato da questo problema. Risolto in OpenSSL 1.1.1k (interessato 1.1.1h-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi