Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов
Во избежание эксплуатации уязвимостей хакерами пользователям рекомендуется установить версию OpenSSL 1.1.1k.
В четверг, 25 марта, в криптографической библиотеке OpenSSL были исправлены две опасные уязвимости . Во избежание их возможной эксплуатации злоумышленниками пользователям рекомендуется установить версию OpenSSL 1.1.1k.
Первая уязвимость (CVE-2021-3450) - обход проверки сертификата. Проблема появилась с добавлением в версию OpenSSL 1.1.1h кода для дополнительной проверки сертификатов с помощью определенных криптографических параметров. Эта дополнительная проверка позволяет убедиться, что сертификат не был издан удостоверяющим центром (УЦ), неспособным выпускать другие сертификаты.
Однако из-за ошибки механизм, призванный усиливать безопасность, делает прямо противоположное - отключает проверку, предотвращающую выпуск сертификатами, не изданными УЦ, других сертификатов.
Требуемые для эксплуатации уязвимости условия снижают вероятность ее массового использования. К примеру, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию.
Вторая уязвимость (CVE-2021-3449) - разыменование нулевого указателя. Уязвимость позволяет вызвать отказ в обслуживании сервера OpenSSL с помощью вредоносного renegotiation-сообщения ClientHello. Уязвимость существует только на серверах, использующих версию протокола TLS 1.2 и механизм renegotiation (как правило, и то и другое включено по умолчанию).
Устали от того, что Интернет знает о вас все?