OpenSSL lansează actualizări pentru 2 vulnerabilități critice
OpenSSL a lansat o actualizare pentru două vulnerabilități critice în software-ul său, care ar putea fi exploatate pentru a efectua atacuri de tip Denial of Service (DoS) și a evita verificarea certificatului.
Cele două vulnerabilități, CVE-2021-3449 și CVE-2021-3450, au fost rezolvate printr-o actualizare (versiunea OpenSSL 1.1.1k) lansată joi. În timp ce CVE-2021-3449 afectează toate versiunile OpenSSL 1.1.1, CVE-2021-3450 are impact asupra versiunilor OpenSSL 1.1.1h și mai noi. OpenSSL este o bibliotecă software formată din funcții criptografice care implementează protocolul Transport Layer Security cu scopul de a securiza comunicațiile trimise printr-o rețea de calculatoare.
Conform unui aviz publicat de OpenSSL, CVE-2021-3449 se referă la o potențială vulnerabilitate DoS apărută din cauza dereferențierii indicatorului NULL care poate provoca blocarea unui server OpenSSL TLS dacă în cursul renegocierii clientul transmite un mesaj malițios „ClientHello” în timpul procesului de handshake între server și utilizator.
„Dacă o renegociere TLSv1.2 ClientHello omite extensia signature_algorithms (unde a fost prezentă în ClientHello inițial), dar include o extensie signature_algorithms_cert, va rezulta o dereferență a indicatorului NULL, ceea ce va duce la un crash și la un atac de tip denial of service”, a spus un consultant.
CVE-2021-3450, pe de altă parte, se referă la un flag X509_V_FLAG_X509_STRICT care permite verificări suplimentare de securitate ale certificatelor prezente într-un lanț de certificare. În timp ce acest flag nu este setat în mod implicit, o eroare în implementare a însemnat că OpenSSL nu a reușit să verifice dacă „certificatele care nu sunt CA nu trebuie să poată emite alte certificate”, rezultând o ocolire a certificatului.
Ca urmare, vulnerabilitatea a împiedicat aplicațiile să respingă certificatele TLS care nu sunt semnate digital de o autoritate de certificare (CA) de încredere în browser. „Pentru a fi afectată, o aplicație trebuie să seteze în mod explicit flagul de verificare X509_V_FLAG_X509_STRICT și fie să nu stabilească un scop pentru verificarea certificatului, fie, în cazul aplicațiilor client sau server TLS, să înlocuiască scopul implicit”, a spus OpenSSL. Benjamin Kaduk de la Akamai a raportat problema pe 18 martie. Vulnerabilitatea a fost descoperită de Xiang Ding și alții de la Akamai, cu o soluție pusă în aplicare de fostul inginer de software principal Red Hat și dezvoltator OpenSSL Tomáš Mráz. Deși niciuna dintre probleme nu afectează OpenSSL 1.0.2, merită de asemenea remarcat faptul că versiunea nu mai este compatibilă de la 1 ianuarie 2020 și nu mai primește actualizări.
Se recomandă ca deținătorii de aplicații care se bazează pe o versiune vulnerabilă a OpenSSL să aplice patch-urile pentru a evita riscurile asociate acestor vulnerabilități.
Sursa: https://thehackernews.com
