Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Во избежание эксплуатации уязвимостей хакерами пользователям рекомендуется установить версию OpenSSL 1.1.1k.

В четверг, 25 марта, в криптографической библиотеке OpenSSL были исправлены две опасные уязвимости . Во избежание их возможной эксплуатации злоумышленниками пользователям рекомендуется установить версию OpenSSL 1.1.1k.

Первая уязвимость (CVE-2021-3450) - обход проверки сертификата. Проблема появилась с добавлением в версию OpenSSL 1.1.1h кода для дополнительной проверки сертификатов с помощью определенных криптографических параметров. Эта дополнительная проверка позволяет убедиться, что сертификат не был издан удостоверяющим центром (УЦ), неспособным выпускать другие сертификаты.

Однако из-за ошибки механизм, призванный усиливать безопасность, делает прямо противоположное - отключает проверку, предотвращающую выпуск сертификатами, не изданными УЦ, других сертификатов.

Требуемые для эксплуатации уязвимости условия снижают вероятность ее массового использования. К примеру, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию.

Вторая уязвимость (CVE-2021-3449) - разыменование нулевого указателя. Уязвимость позволяет вызвать отказ в обслуживании сервера OpenSSL с помощью вредоносного renegotiation-сообщения ClientHello. Уязвимость существует только на серверах, использующих версию протокола TLS 1.2 и механизм renegotiation (как правило, и то и другое включено по умолчанию).


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!