-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [26/03/2021]: Vulnerabilidades críticas na biblioteca OpenSSL

Prezados,

O CAIS alerta para recentes vulnerabilidades críticas encontradas na biblioteca OpenSSL, utilizada nos protocolos SSL e TLS. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para as vulnerabilidades em questão.


DESCRIÇÃO

Desreferência do ponteiro NULL durante processo de renegociação (CVE-2021-3449): a vulnerabilidade ocorre durante o processo de renegociação entre cliente e servidor. Um usuário malicioso pode enviar uma mensagem maliciosa ClientHello omitindo a extensão signature_algorithms, resultando dessa forma em uma desreferência do ponteiro NULL, levando inicialmente a uma falha e posteriormente a um ataque de negação  de serviço.

Ignorar verificação do certificado CA (CVE-2021-3450): a vulnerabilidade está relacionada à flag X509_V_FLAG_X509_STRICT, a mesma é utilizada pelo OpenSSL para não permitir o uso de soluções alternativas para certificados corrompidos e requer estritamente que os certificados sejam verificados em relação às regras X509. Um usuário malicioso poderia explorar essa vulnerabilidade e fazer com que o OpenSSL falhasse na verificação de veracidade dos certificados.


SISTEMAS IMPACTADOS

OpenSSL


VERSÕES AFETADAS

OpenSSL 1.1.1h até 1.1.1j


CORREÇÕES DISPONÍVEIS

Atualizar para versão OpenSSL 1.1.1k


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2021-3449
 - - CVE-2021-3540


MAIS INFORMAÇÕES
[1] - https://www.openssl.org/news/secadv/20210325.txt
[2] - https://www.securityweek.com/openssl-111k-patches-two-high-severity-vulnerabilities
[3] - https://ubuntu.com/security/notices/USN-4891-1


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=FQR+
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta