W najpowszechniejszej bibliotece oprogramowania do implementacji szyfrowania witryn internetowych i poczty e-mail, OpenSSL, została odkryta i załatana bardzo poważna luka, która powoduje awarię serwera usługi (atak Denial of Service) po otrzymaniu złośliwie spreparowanego żądania od nieuwierzytelnionego użytkownika końcowego (CVE-2021-3449). Możliwość wykorzystania luki występuje w domyślnej konfiguracji biblioteki, dla algorytmów TLS v.1.2 oraz włączonej funkcjonalności renegocjacji.

OpenSSL naprawił również oddzielną lukę w zabezpieczeniach (CVE-2021-3450), która w skrajnych przypadkach uniemożliwiała aplikacjom wykrywanie i odrzucanie certyfikatów TLS, które nie są podpisane cyfrowo przez urząd certyfikacji zaufany w przeglądarce.

Na ataki podatna jest biblioteka w wersji 1.1.1h i nowszej. Aplikacje korzystające z podatnej wersji OpenSSL powinny zostać zaktualizowane do OpenSSL 1.1.1k tak szybko, jak to możliwe. Opisany problem nie dotyczy OpenSSL w wersji 1.0.2 (która jednakże nie jest już wspierana i nie otrzymuje poprawek bezpieczeństwa; nie powinna być zatem używana). W przypadku braku możliwości natychmiastowej aktualizacji, np. w oczekiwaniu na okno serwisowe, obejściem problemu będzie udostępnienie jedynie możliwości połączenia się przy użyciu algorytmów TLS v.1.3.


Więcej informacji:
• Zalecenie twórców oprogramowania:
https://www.openssl.org/news/secadv/20210325.txt
• Informacje polskojęzyczne:
https://techmaniacy.pl/openssl-naprawia-powazna-luke-ktora-pozwala-hakerom-na-awarie-serwerow/,
https://sekurak.pl/powazna-luka-w-openssl-mozna-zdalnie-zabijac-serwery-dos-latajcie-rowniez-urzadzenia