[SECURITY-L] Fwd: [RNP/CAIS Alerta #0067] Vulnerabilidades críticas na biblioteca OpenSSL
CSIRT Unicamp
security em unicamp.br
Sexta Março 26 10:04:31 -03 2021
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
CAIS-Alerta [26/03/2021]: Vulnerabilidades críticas na biblioteca OpenSSL
Prezados,
O CAIS alerta para recentes vulnerabilidades críticas encontradas na
biblioteca OpenSSL, utilizada nos protocolos SSL e TLS. Até o momento da
publicação deste alerta, não foram identificados códigos de exploração para
as vulnerabilidades em questão.
DESCRIÇÃO
Desreferência do ponteiro NULL durante processo de renegociação
(CVE-2021-3449): a vulnerabilidade ocorre durante o processo de
renegociação entre cliente e servidor. Um usuário malicioso pode enviar uma
mensagem maliciosa ClientHello omitindo a extensão signature_algorithms,
resultando dessa forma em uma desreferência do ponteiro NULL, levando
inicialmente a uma falha e posteriormente a um ataque de negação de
serviço.
Ignorar verificação do certificado CA (CVE-2021-3450): a vulnerabilidade
está relacionada à flag X509_V_FLAG_X509_STRICT, a mesma é utilizada pelo
OpenSSL para não permitir o uso de soluções alternativas para certificados
corrompidos e requer estritamente que os certificados sejam verificados em
relação às regras X509. Um usuário malicioso poderia explorar essa
vulnerabilidade e fazer com que o OpenSSL falhasse na verificação de
veracidade dos certificados.
SISTEMAS IMPACTADOS
OpenSSL
VERSÕES AFETADAS
OpenSSL 1.1.1h até 1.1.1j
CORREÇÕES DISPONÍVEIS
Atualizar para versão OpenSSL 1.1.1k
IDENTIFICADORES CVE (http://cve.mitre.org)
- - CVE-2021-3449
- - CVE-2021-3540
MAIS INFORMAÇÕES
[1] - https://www.openssl.org/news/secadv/20210325.txt
[2] -
https://www.securityweek.com/openssl-111k-patches-two-high-severity-vulnerabilities
[3] - https://ubuntu.com/security/notices/USN-4891-1
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP
Atenciosamente,
CAIS/RNP
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br https://www.rnp.br/sistema-rnp/cais #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
wsFcBAEBCAAQBQJgXdbaCRB83qA0uPj0mAAA2dIP/jEoJJhFj0eac67GH1EE
dUxAMTeUJXyQ1RucBGno22iMYM8iJ9H/jqGd/1l+0Q5js3HGkC+47+YeMNga
ce3jw8j8CDLkIKDDV3WaNASrLACKq/ZHComWcB9NFtWLYM3/stuCDRYGK4ir
5CKr7bgHrZHa9fLVIygJcDyoGz77vMiSahmKlPqlNeSU74zD7Mr4YyG0AITp
vwQjeP1LENkvWbI9+6Ak+JcI8tjpTi9YbQ0qW5A93cdCBt5d4GJ3H3NeEsxv
BMf7fRtHPpGJJSLEOGg5aIMMFRFyjwwJKwMBNPmMZmXijooOz5w4OZyeTF7t
6boYwRJqdtaaKLnz0eoMdmFlaHSq8HsE9KA8e2IzqlfnryLZ3qI8xDEASSSS
yABfkDpsvNTjxkNLopq2/IDZNtFvvY/m5logz08x2Qnmi3x8JfdSGHcyX6oi
LOmRtDGUiaK0qD7qyjBHmccxANAQPy+fJKRrW8PorWgISIZTb8Jl7luCw57z
QoL7k+ZSQld3W3QaVsCLvk0rtcqY+D62Q9it3ALVq43uLtDWnA7VDKGYjsrf
BcOnUME0m1lNNAQcy64a3Vsf//0b/wh4b97IqJSLSe719X/qBwfGasdK6xih
sfuF01oQYknr5veddeZimpl3LR3hQze+oiXPhErhUE90kD0AKiNW1nbGdOuT
icIn
=FQR+
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20210326/4bcd5e07/attachment.html>
Mais detalhes sobre a lista de discussão SECURITY-L