Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов

Alexander Antipov

Во избежание эксплуатации уязвимостей хакерами пользователям рекомендуется установить версию OpenSSL 1.1.1k.

image

В четверг, 25 марта, в криптографической библиотеке OpenSSL были исправлены две опасные уязвимости . Во избежание их возможной эксплуатации злоумышленниками пользователям рекомендуется установить версию OpenSSL 1.1.1k.

Первая уязвимость (CVE-2021-3450) — обход проверки сертификата. Проблема появилась с добавлением в версию OpenSSL 1.1.1h кода для дополнительной проверки сертификатов с помощью определенных криптографических параметров. Эта дополнительная проверка позволяет убедиться, что сертификат не был издан удостоверяющим центром (УЦ), неспособным выпускать другие сертификаты.

Однако из-за ошибки механизм, призванный усиливать безопасность, делает прямо противоположное — отключает проверку, предотвращающую выпуск сертификатами, не изданными УЦ, других сертификатов.

Требуемые для эксплуатации уязвимости условия снижают вероятность ее массового использования. К примеру, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных приложений TLS, переопределить цель по умолчанию.

Вторая уязвимость (CVE-2021-3449) — разыменование нулевого указателя. Уязвимость позволяет вызвать отказ в обслуживании сервера OpenSSL с помощью вредоносного renegotiation-сообщения ClientHello. Уязвимость существует только на серверах, использующих версию протокола TLS 1.2 и механизм renegotiation (как правило, и то и другое включено по умолчанию).


Хакеры заявляют о возможности доступа к ракетным системам США, в Microsoft Office 365 нашли две опасные уязвимости, а угрозу безопасности могут нести даже интим-игрушки в девятом выпуске секьюрити-новостей на нашем Youtube канале.


Источник: Securitylab