OpenSSL устранила уязвимости и возможности проведения DoS-атаки при проверке сертификатов

Дата: 26.03.2021. Автор: Артем П. Категории: Новости по информационной безопасности
OpenSSL устранила уязвимости и возможности проведения DoS-атаки при проверке сертификатов

Представители проекта OpenSSL объявили о выпуске исправлений по двум уязвимостям критического уровня серьезности (CVE-2021-3449 и CVE-2021-3450), которые скрываются в продуктах OpenSSL.

OpenSSL представляет собой полноценную криптографическую библиотеку с открытым исходным кодом, получившую широкое распространение из-за расширения SSL/TLS, активно применяемого в протоколе HTTPS.

Ранее были обнаружены следующие уязвимости:

  • CVE-2021-3449. Ошибка отказа в обслуживании (DoS) из-за разыменования нулевого указателя, влияющая на экземпляры сервера OpenSSL, но не на клиентов.
  • CVE-2021-3450. Уязвимость при проверке сертификатов центра сертификации, оказывающая влияние на сервер и клиентские экземпляры.

Уязвимость DoS (CVE-2021-3449) на сервере OpenSSL TLS потенциально способна вызвать сбой сервера, если во время повторного согласования клиент отправляет вредоносное сообщение ClientHello. «Если ClientHello с повторным согласованием TLSv1.2 опускает расширение signature_algorithms (там, где оно присутствовало в исходном ClientHello), но включает расширение signature_algorithms_cert, то разыменование указателя NULL приводит к сбою и атаке DoS», – сказано в сообщении команды OpenSSL.

Уязвимость актуальна только серверов OpenSSL с версиями от 1.1.1 до 1.1.1j включительно, на которых запущены TLSv1.2 и повторное согласование.

Уязвимость обхода проверки сертификатов центра сертификации (CA) CVE-2021-3450 связана с  X509_V_FLAG_X509_STRICT. Этой уязвимости подвержены OpenSSL версии 1.1.1h и выше (за исключением исправленного выпуска 1.1.1k), потому что в этих версиях флаг X509_V_FLAG_X509_STRICT не установлен по умолчанию.

Ни одна из уязвимостей не влияет на OpenSSL 1.0.2. Обе уязвимости исправлены в OpenSSL 1.1.1k, и пользователям рекомендуется обновиться до этой версии.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *