Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
OpenSSL
(1.1.1, 1.1.1k)
Описание
Уязвимость позволяет злоумышленникам вызвать аварийное завершение работы TLS-сервера OpenSSL, отправив серверу специально сформированное сообщение повторного согласования ClientHello. Если при повторном согласовании отсутствует расширение signature_algorithms (которое было в первоначальном ClientHello), но присутствует расширение signature_algorithms_cert, то произойдет разыменование нулевого указателя, которое приведет к аварийному завершению работы и отказу в обслуживании. Сервер является уязвимым, только если использует TLSv1.2 и функцию повторного согласования (которая включена по умолчанию). Уязвимость отсутствует в TLS-клиентах OpenSSL.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
https://www.openssl.org/
Ссылки
Источник: CVE
Наименование: CVE-2021-3449
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449
https://www.openssl.org/news/secadv/20210325.txt
Наименование: CVE-2021-3449
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449
https://www.openssl.org/news/secadv/20210325.txt