OpenSSL关闭了两个高度严重性的错误:缺陷使ShenAnigans能够进行证明,拒绝服务攻击

Debian,Ubuntu在修补曲线之前,至少 - 不要迟到自己


openSSL软件库中的两个高度严重性漏洞在周四披露了openssl1.1.1k的修补版本的修补版本。

OpenSSL广泛用于实现传输层安全(TLS)和安全套接字层(SSL)协议,支持加密的网络连接。替代品包括Boringssl和Libressl, 除此之外.

第一个缺陷,证书检查旁路(CVE-2021-3450),由于v1.1.1h中实现的代码而导致,以使用某些加密参数对证书进行附加有效性检查。检查旨在确保不从证书颁发机构的证书无法签发其他证书。

由于错误,启用严格的证书验证与它应该执行的操作相反:它禁用检查以防止非CA证书发出其他证书。

根据本组织的说法,滥用脆弱性的条件减轻了广泛剥削的可能性。

安全

您如何解决开源安全性等问题?谷歌有一个想法,虽然约束可能不会很好

阅读更多

“为了受到影响,必须明确地设置X509_V_FLAG_X509_STRICT验证标志,并不为证书验证设置目的,或者在TLS客户端或服务器应用程序的情况下,覆盖默认目的” openssl咨询 explains.

在由Akamai的BenjaminKaduk于3月18日,来自Akamai的Benjamin Kaduk在内容交付网络上的其他人被识别后,来自Akamai的漏洞。 TomášMráz是Red Hat的前主体软件工程师,归功于创建补丁。他告诉我们,他现在是OpenSSL软件服务的全职承包商,即核心Openssl开发人员。

第二个缺陷, 空指针放大 (CVE-2021-3449),有可能使用恶意制作的重新标识客户端消息崩溃OpenSSL服务器。如果它们具有TLSv1.2和启用重新标准,则服务器只能易受攻击,但是 通常是默认值.

"If a TLSv1.2 renegotiation ClientHello omits the signature_algorithms extension (where it was present in the initial ClientHello), but includes a signature_algorithms_cert extension then 空指针放大 will result, leading to a crash and a denial of service attack," the advisory explains.

所有以前的OpenSSL 1.1.1版本受到影响,因此升级其软件的版本应该使用新发行的OpenSL 1.1.1k 修复 来自诺基亚的PeterKästle和Samuel Sapalski开发的。 OpenSSL 1.0.2不受影响。

Debian发布了 补丁,就像有的话一样 Ubuntu.。其他Linux发行版和操作系统供应商可能会遵循。虽然这些不是 Heartbled-Level缺陷,他们应该越早处理而不是稍后。 ®


咬住它的手©1998-2021