OpenSSL Project 發布 1.1.1k 版本修復兩個高嚴重漏洞
OpenSSL項目解決了兩個高嚴重性漏洞,其中一個與驗證證書鏈有關,另一個可以觸發DoS條件。
OpenSSL項目本周發布了1.1.1k版,以解決兩個嚴重性漏洞,分別被跟蹤為CVE-2021-3450和CVE-2021-3449。
該CVE-2021-3449漏洞可能被利用來觸發發送特制重新協商DoS條件的ClientHello從客戶端消息。
“如果從客戶端發送了惡意的重新協商ClientHello消息,則OpenSSL TLS服務器可能會崩潰。如果TLSv1.2重新協商ClientHello省略了signature_algorithms擴展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert擴展名,則將導致NULL指針取消引用,從而導致崩潰和拒絕服務攻擊。
此問題影響運行帶有TLS 1.2并啟用了重新協商(默認配置)的OpenSSL 1.1.1版本的服務器。諾基亞的PeterK?stle和Samuel Sapalski報告了此漏洞。
使用X509_V_FLAG_X509_STRICT標志時,CVE-2021-3450漏洞與證書鏈的驗證有關。
“ X509_V_FLAG_X509_STRICT標志可對證書鏈中存在的證書進行其他安全檢查。默認情況下未設置。從OpenSSL版本1.1.1h開始,添加了一項檢查以禁止在鏈中顯式編碼橢圓曲線參數的證書,這是附加的嚴格檢查。” 讀取由OpenSSL Project發布的建議。“執行此檢查時出錯,這意味著先前檢查的結果已被覆蓋,該檢查用于確認鏈中的證書是有效的CA證書。這有效地繞過了非CA證書一定不能頒發其他證書的檢查,”
該漏洞由Akamai的Benjamin Kaduk和Xiang Ding報告。
2021年2月,OpenSSL Project發布了安全補丁程序,以解決三個漏洞,兩個拒絕服務(DoS)漏洞以及不正確的SSLv2回滾保護問題。
