El proyecto OpenSSL anuncio hoy jueves el lanzamiento de la versión 1.1.1K, que corrige dos vulnerabilidades catalogada crítica e identificada como CVE-2021-3450 y CVE-2021-3449.
La primera vulnerabilidad se ha descrito como un problema para verificar una cadena de certificados cuando se utiliza el indicador X509_V_FLAG_X509_STRICT.
“A partir de la versión 1.1.1h de OpenSSL, se agregó una verificación para no permitir certificados en la cadena que tienen parámetros de curva elíptica codificados explícitamente como una verificación estricta adicional. Un error en la implementación de esta verificación significó que se sobrescribió el resultado de una verificación previa para confirmar que los certificados de la cadena son certificados de CA válidos. Esto efectivamente evita la verificación de que los certificados que no son de CA no deben poder emitir otros certificados”, informo el proyecto OpenSSL en su sitio web.
Este problema fue informado a OpenSSL el 18 de marzo de 2021 por Benjamin Kaduk de Akamai y fue descubierto por Xiang Ding y otros en Akamai.
La segunda vulnerabilidad tiene relación con la renegociación desde un cliente, el impacto de esta vulnerabilidad es que se puede explotar y crear un ataque de denegación de servicios (DoS). Todas las versiones OpenSSL 1.1.1 se ven afectadas por este problema, la versión Open 1.0.2 no se encuentra afecta, considerar que esta versión ya no recibe actualizaciones.
Este problema fue informado a OpenSSL el 17 de marzo de 2021 por Nokia. La solución fue desarrollada por Peter Kästle y Samuel Sapalski de Nokia.
OpenSSL informa en el comunicado que la única forma de mitigar estas vulnerabilidades es actualizar a la versión 1.1.1k.
