OpenSSL 1.1.1k がリリースされた【セキュリティ・アップデート】

no extension

OpenSSL 1.1.1k がリリースされた。 2件の脆弱性の改修が行われている。

CVE-2021-3449

OpenSSL 側は “Severity: High” と評価している。

An OpenSSL TLS server may crash if sent a maliciously crafted renegotiation ClientHello message from a client. If a TLSv1.2 renegotiation ClientHello omits the signature_algorithms extension (where it was present in the initial ClientHello), but includes a signature_algorithms_cert extension then a NULL pointer dereference will result, leading to a crash and a denial of service attack. A server is only vulnerable if it has TLSv1.2 and renegotiation enabled (which is the default configuration).

(以下未稿)

CVE-2021-3450

OpenSSL 側は “Severity: High” と評価している。

The X509_V_FLAG_X509_STRICT flag enables additional security checks of the certificates present in a certificate chain. It is not set by default. Starting from OpenSSL version 1.1.1h a check to disallow certificates in the chain that have explicitly encoded elliptic curve parameters was added as an additional strict check. An error in the implementation of this check meant that the result of a previous check to confirm that certificates in the chain are valid CA certificates was overwritten. This effectively bypasses the check that non-CA certificates must not be able to issue other certificates.

アップデートは計画的に

Ubuntu はバックポートパッチを当てたバージョンを APT で配布している。

手動で更新するのであれば

$ cd /usr/local/src/
$ sudo curl -L "https://www.openssl.org/source/openssl-1.1.1k.tar.gz" -O
$ sudo curl -L "https://www.openssl.org/source/openssl-1.1.1k.tar.gz.asc" -O
$ gpg -d openssl-1.1.1k.tar.gz.asc # 署名を確認する
$ $ sudo tar xvf openssl-1.1.1k.tar.gz
$ cd openssl-1.1.1k/
$ sudo ./config
$ sudo make
$ sudo make install
$ sudo ldconfig # 念のため
$ openssl version
OpenSSL 1.1.1k  25 Mar 2021

などとする。

アップデートは計画的に。

ブックマーク