openssl安全咨询

2021-03-26 20:06:13

openssl安全咨询[3月25日2021] ========================================= CA证书检查旁路带X509_V_FLAG_X509_STRICT(CVE-2021-3450)====================================== ================================== severity:highthe x509_v_flag_x509_strict标志可以在证书链中提供的额外安全检查。 。默认情况下未设置。从openssl版本1.1.1h a check禁止证书,禁止具有明确编码的椭圆曲线参数的链条被添加了一个额外的严格检查。此检查中的实施中的错误意味着不惜一项项检查的错误确认链中的证书是有效的,覆盖了CARERIFYATES。这种有效地绕过了核心问题,无需证明的证书即可颁发其他证书。如果A"目的"已配置然后有一个后续机会检查证书是有效的CA.所有命名和#34;目的"在libcrypto中实现的值执行此检查。因此,即使使用TheStrict标志,仍然将证书链设定证书链。默认情况下设置了一个目的在libssl client和server证书验证例程中,但它可以通过应用程序覆盖。在命令受到影响时,必须明确地设置Ax509_V_FLAG_X509_STRICT验证标志,并不为证书验证设置目的,或者TLS客户端或ServerApplications的情况,覆盖默认用途.PensSL版本1.1.1h和inder受此问题的影响。 eversions的用户应该升级到openssl 1.1.1k.openssl 1.0.2不会受到此问题的影响。这一问题据报道,由Benjamin KadukFrom Akamai的Benjamin KadukFrom Akamai举行了Openssl,并被Xiang Ding和Akamai发现。 TomášMráz.Null指针Deref在Signature_algorithms处理中进行了修复(CVE-2021-3449)============================== =======================================严重性:HighAn OpenSL TLS服务器如果发送了一个恶意制作了客户的重新策略clienthello消息。如果tlsv1.2重新标识ClientHello ofitsthe signature_algorithms扩展名(在initialClienthello中存在的位置),但包括signature_algorithms_cert扩展,那么将导致nullpoiter dereference,导致崩溃和拒绝serviceeattack.a server如果它只易受攻击启用TLSv1.2和重新趋势(哪个默认配置)。 openssl tls客户端不会受到upounssuesue的影响。所有openssl 1.1.1版本受此问题的影响。这些版本的用户应该升级到openssl 1.1.1k.openssl 1.0.2不会受到此问题的影响。本问题据报道,诺基亚于3月17日举行openssl。由PeterKästle和Samuel Sapalski从Nokia开发的修复程序.Note ==== Openssl 1.0.2不受支持,不再接收公共更新。 ExtendedSupport可用于高级支持客户:https://www.openssl.org/support/contracts.htmlopenssl 1.1.0超出了支持,不再接收任何类型的更新。这些问题对OpenSSL 1.1.0的影响未分析。这些版本的用户应该升级到openssl 1.1.1.references ========== url此安全咨询:https://www.openssl.org/news/sec adv/20210325.txtnote :咨询的在线版本可以使用其他细节更新时间。有关openssl严重性分类的详细信息,请参阅:https://www.openssl.org/policies/secpolicy.html