OpenSSL Project 发布 1.1.1k 版本修复两个高严重漏洞
OpenSSL项目解决了两个高严重性漏洞,其中一个与验证证书链有关,另一个可以触发DoS条件。
OpenSSL项目本周发布了1.1.1k版,以解决两个严重性漏洞,分别被跟踪为CVE-2021-3450和CVE-2021-3449。
该CVE-2021-3449漏洞可能被利用来触发发送特制重新协商DoS条件的ClientHello从客户端消息。
“如果从客户端发送了恶意的重新协商ClientHello消息,则OpenSSL TLS服务器可能会崩溃。如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,则将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。
此问题影响运行带有TLS 1.2并启用了重新协商(默认配置)的OpenSSL 1.1.1版本的服务器。诺基亚的PeterKästle和Samuel Sapalski报告了此漏洞。
使用X509_V_FLAG_X509_STRICT标志时,CVE-2021-3450漏洞与证书链的验证有关。
“ X509_V_FLAG_X509_STRICT标志可对证书链中存在的证书进行其他安全检查。默认情况下未设置。从OpenSSL版本1.1.1h开始,添加了一项检查以禁止在链中显式编码椭圆曲线参数的证书,这是附加的严格检查。” 读取由OpenSSL Project发布的建议。“执行此检查时出错,这意味着先前检查的结果已被覆盖,该检查用于确认链中的证书是有效的CA证书。这有效地绕过了非CA证书一定不能颁发其他证书的检查,”
该漏洞由Akamai的Benjamin Kaduk和Xiang Ding报告。
2021年2月,OpenSSL Project发布了安全补丁程序,以解决三个漏洞,两个拒绝服务(DoS)漏洞以及不正确的SSLv2回滚保护问题。
