Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Во избежание эксплуатации уязвимостей хакерами пользователям рекомендуется установить версию OpenSSL 1.1.1k.

image

В четверг, 25 марта, в криптографической библиотеке OpenSSL были исправлены две опасные уязвимости . Во избежание их возможной эксплуатации злоумышленниками пользователям рекомендуется установить версию OpenSSL 1.1.1k.

Первая уязвимость (CVE-2021-3450) - обход проверки сертификата. Проблема появилась с добавлением в версию OpenSSL 1.1.1h кода для дополнительной проверки сертификатов с помощью определенных криптографических параметров. Эта дополнительная проверка позволяет убедиться, что сертификат не был издан удостоверяющим центром (УЦ), неспособным выпускать другие сертификаты.

Однако из-за ошибки механизм, призванный усиливать безопасность, делает прямо противоположное - отключает проверку, предотвращающую выпуск сертификатами, не изданными УЦ, других сертификатов.

Требуемые для эксплуатации уязвимости условия снижают вероятность ее массового использования. К примеру, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию.

Вторая уязвимость (CVE-2021-3449) - разыменование нулевого указателя. Уязвимость позволяет вызвать отказ в обслуживании сервера OpenSSL с помощью вредоносного renegotiation-сообщения ClientHello. Уязвимость существует только на серверах, использующих версию протокола TLS 1.2 и механизм renegotiation (как правило, и то и другое включено по умолчанию).


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.