Podatność: CVE-2021-3450

Flaga X509_V_FLAG_X509_STRICT umożliwia dodatkowe sprawdzanie bezpieczeństwa certyfikatów występujących w łańcuchu certyfikatów. Domyślnie nie jest ona ustawiona. Począwszy od wersji 1.1.1h OpenSSL jako dodatkowe rygorystyczne sprawdzanie dodawało sprawdzanie, czy w łańcuchu nie znajdują się certyfikaty, które mają jawnie zakodowane parametry krzywej eliptycznej. Błąd w implementacji tego sprawdzenia powodował, że wynik poprzedniego sprawdzenia, czy certyfikaty w łańcuchu są ważnymi certyfikatami CA, był nadpisywany. W ten sposób skutecznie ominięto sprawdzanie, czy certyfikaty inne niż CA nie mogą wystawiać innych certyfikatów. Jeżeli skonfigurowano ""cel"", to istnieje możliwość sprawdzenia, czy dany certyfikat jest ważnym certyfikatem CA. Wszystkie nazwane wartości ""purpose"" zaimplementowane w libcrypto wykonują to sprawdzenie. Dlatego też, gdy ustawiony jest cel, łańcuch certyfikatów nadal będzie odrzucany, nawet jeśli użyta została flaga strict. Cel jest domyślnie ustawiony w procedurach weryfikacji certyfikatów klienta i serwera libssl, ale może być nadpisany lub usunięty przez aplikację. Aby mieć na to wpływ, aplikacja musi jawnie ustawić flagę weryfikacji X509_V_FLAG_X509_STRICT i albo nie ustawiać celu dla weryfikacji certyfikatu, albo, w przypadku aplikacji klienckich lub serwerowych TLS, nadpisać domyślny cel. Problem ten dotyczy OpenSSL w wersji 1.1.1h i nowszych. Użytkownicy tych wersji powinni zaktualizować je do wersji OpenSSL 1.1.1k. OpenSSL 1.0.2 nie jest dotknięty tym problemem. Poprawiono w OpenSSL 1.1.1k (dotyczy wersji 1.1.1h-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450


Komentarz można zostawić jako zarejestrowany użytkownik serwisu, uzyskując dostęp poprzez sieci społecznościowe, konto wordpress lub jako użytkownik anonimowy. Jeśli chcesz zostawić komentarz jako anonimowy użytkownik, zostaniesz powiadomiony e-mailem o możliwej odpowiedzi tylko wtedy, gdy podasz swój adres e-mail (opcjonalnie). Włączenie jakichkolwiek danych do pól komentarza jest całkowicie opcjonalne. Każdy, kto zdecyduje się na wprowadzenie jakichkolwiek danych, akceptuje ich traktowanie w celach związanych z usługą lub w odpowiedzi na komentarz i komunikację, co jest absolutnie konieczne.


Zostaw Komentarz