27.03.2021 | Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов |
В четверг, 25 марта, в криптографической библиотеке OpenSSL были исправлены две опасные уязвимости . Во избежание их возможной эксплуатации злоумышленниками пользователям рекомендуется установить версию OpenSSL 1.1.1k. Первая уязвимость (CVE-2021-3450) - обход проверки сертификата. Проблема появилась с добавлением в версию OpenSSL 1.1.1h кода для дополнительной проверки сертификатов с помощью определенных криптографических параметров. Эта дополнительная проверка позволяет убедиться, что сертификат не был издан удостоверяющим центром (УЦ), неспособным выпускать другие сертификаты. Однако из-за ошибки механизм, призванный усиливать безопасность, делает прямо противоположное - отключает проверку, предотвращающую выпуск сертификатами, не изданными УЦ, других сертификатов. Требуемые для эксплуатации уязвимости условия снижают вероятность ее массового использования. К примеру, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию. Вторая уязвимость (CVE-2021-3449) - разыменование нулевого указателя. Уязвимость позволяет вызвать отказ в обслуживании сервера OpenSSL с помощью вредоносного renegotiation-сообщения ClientHello. Уязвимость существует только на серверах, использующих версию протокола TLS 1.2 и механизм renegotiation (как правило, и то и другое включено по умолчанию). |
Проверить безопасность сайта