Poradenstvo v oblasti zabezpečenia OpenSSL: Zraniteľnosti vysokej závažnosti opravené vo verzii 1.1.1k |
您所在的位置:网站首页 › openssl x509 -in › Poradenstvo v oblasti zabezpečenia OpenSSL: Zraniteľnosti vysokej závažnosti opravené vo verzii 1.1.1k |
و Projekt OpenSSL vydal a bezpečnostné poradenstvo 25. marca 2021 podrobne uvádzajúce dve veľmi závažné chyby zabezpečenia: Vynechanie kontroly certifikátu CA s X509_V_FLAG_X509_STRICT (CVE-2021-3450)Zhrnutie: Chyba pri implementácii bezpečnostných kontrol povolených serverom X509_V_FLAG_X509_STRICT príznak „znamenal, že bol prepísaný výsledok predchádzajúcej kontroly na potvrdenie, že certifikáty v reťazci sú platné certifikáty CA. Týmto sa efektívne obchádza kontrola, že certifikáty, ktoré nie sú CA, nesmú byť schopné vydávať ďalšie certifikáty. “ Tento problém sa týka iba aplikácií, ktoré explicitne nastavujú X509_V_FLAG_X509_STRICT príznak (predvolene nie je nastavený) a „buď nestanovujú účel overenia certifikátu, alebo v prípade TLS klientske alebo serverové aplikácie, majú prednosť pred predvoleným účelom. “ Táto chyba zabezpečenia ovplyvňuje verzie OpenSSL verzie 1.1.1h a novšie a používatelia týchto verzií by mali inovovať na verziu 1.1.1k. Prejsť na začiatok Ukazovateľ NULL deref pri spracovaní podpisových algoritmov (CVE-2021-3449)Zhrnutie: Táto zraniteľnosť umožňuje útočníkovi zlyhať OpenSSL TLS serverom zaslaním škodlivo vytvorenej správy ClientHello: „Ak a TLSv1.2 opätovné prerokovanie ClientHello vynechá rozšírenie signature_algorithms (kde bolo prítomné v pôvodnom ClientHello), ale obsahuje rozšírenie signature_algorithms_cert, výsledkom bude dereferencia ukazovateľa NULL, ktorá povedie k zlyhaniu a útoku odmietnutia služby. “ Server je zraniteľný, ak má TLSv1.2 a opätovné vyjednávanie povolené, predvolená konfigurácia. Všetko Tento problém ovplyvňuje verzie OpenSSL 1.1.1 a používatelia týchto verzií by mali upgradovať na verziu 1.1.1k. SSL.com odporúča všetkým používateľom OpenSSL, aby si preštudovali celý text poradný a aktualizovať svoje inštalácie na OpenSSL 1.1.1k, ak používajú verziu ovplyvnenú jednou alebo obidvomi týmito chybami zabezpečenia. Ako vždy, pokojne kontaktujte tím podpory SSL.com na adrese [email protected], 1-877-SSL-SECUREalebo prostredníctvom odkazu na rozhovor na tejto stránke. |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |