Podatność: CVE-2021-3449

Serwer TLS OpenSSL może ulec awarii, jeśli otrzyma od klienta złośliwie spreparowaną wiadomość renegotiation ClientHello. Jeśli TLSv1.2 renegotiation ClientHello pomija rozszerzenie signature_algorithms (jeśli było obecne w początkowym ClientHello), ale zawiera rozszerzenie signature_algorithms_cert, wówczas nastąpi dereferencja wskaźnika NULL, co doprowadzi do awarii i ataku typu denial of service. Serwer jest podatny na atak tylko wtedy, gdy ma włączoną obsługę TLSv1.2 i renegocjacji (co jest konfiguracją domyślną). Klienci OpenSSL TLS nie są dotknięci tym problemem. Wszystkie wersje OpenSSL 1.1.1 są dotknięte tym błędem. Użytkownicy tych wersji powinni zaktualizować je do wersji OpenSSL 1.1.1k. OpenSSL 1.0.2 nie jest dotknięty tym problemem. Poprawiono w OpenSSL 1.1.1k (dotyczy wersji 1.1.1-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://www.debian.org/security/2021/dsa-4875
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449


Komentarz można zostawić jako zarejestrowany użytkownik serwisu, uzyskując dostęp poprzez sieci społecznościowe, konto wordpress lub jako użytkownik anonimowy. Jeśli chcesz zostawić komentarz jako anonimowy użytkownik, zostaniesz powiadomiony e-mailem o możliwej odpowiedzi tylko wtedy, gdy podasz swój adres e-mail (opcjonalnie). Włączenie jakichkolwiek danych do pól komentarza jest całkowicie opcjonalne. Każdy, kto zdecyduje się na wprowadzenie jakichkolwiek danych, akceptuje ich traktowanie w celach związanych z usługą lub w odpowiedzi na komentarz i komunikację, co jest absolutnie konieczne.


Zostaw Komentarz