Vulnerabilidad en el flag X509_V_FLAG_X509_STRICT en OpenSSL (CVE-2021-3450)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
25/03/2021
Última modificación:
07/11/2023
Descripción
El flag X509_V_FLAG_X509_STRICT permite llevar a cabo comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. No está establecido por defecto. A partir de la versión 1.1.1h de OpenSSL, se añadió como comprobación estricta adicional la de no permitir certificados en la cadena que tengan parámetros de curva elíptica codificados explícitamente. Un error en la implementación de esta comprobación significaba que el resultado de una comprobación previa para confirmar que los certificados de la cadena son certificados de CA válidos fueron sobrescritos. De este modo, se omite la comprobación de que los certificados que no son de CA no deben poder emitir otros certificados. Si se ha configurado un "purpose", se presenta la posibilidad de comprobar posteriormente que el certificado es una CA válida. Todos los valores de "purpose" implementados en libcrypto llevan a cabo esta comprobación. Por lo tanto, cuando se establece un propósito, la cadena de certificados seguirá siendo rechazada inclusive cuando se haya usado el flag strict. Se establece un propósito por defecto en las rutinas de verificación de certificados de cliente servidor de libssl, pero puede ser anulado o eliminado por una aplicación. Para que se vea afectada, una aplicación debe establecer explícitamente el flag de verificación X509_V_FLAG_X509_STRICT y no establecer un propósito para la verificación de certificados o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito por defecto. Este problema afecta a las versiones 1.1.1h y posteriores de OpenSSL. Los usuarios de estas versiones deben actualizar a OpenSSL versión 1.1.1k. OpenSSL versión 1.0.2 no está afectado por este problema. Corregido en OpenSSL versión 1.1.1k (Afectadas versiones 1.1.1h-1.1.1j)
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* | 1.1.1h (incluyendo) | 1.1.1k (excluyendo) |
| cpe:2.3:o:freebsd:freebsd:12.2:-:*:*:*:*:*:* | ||
| cpe:2.3:o:freebsd:freebsd:12.2:p1:*:*:*:*:*:* | ||
| cpe:2.3:o:freebsd:freebsd:12.2:p2:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:santricity_smi-s_provider_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:santricity_smi-s_provider:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:storagegrid_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:storagegrid:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:windriver:linux:-:*:*:*:cd:*:*:* | ||
| cpe:2.3:o:windriver:linux:17.0:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:windriver:linux:18.0:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:windriver:linux:19.0:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:netapp:cloud_volumes_ontap_mediator:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/03/27/1
- http://www.openwall.com/lists/oss-security/2021/03/27/2
- http://www.openwall.com/lists/oss-security/2021/03/28/3
- http://www.openwall.com/lists/oss-security/2021/03/28/4
- https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
- https://git.openssl.org/gitweb/?p=openssl.git%3Ba%3Dcommitdiff%3Bh%3D2a40b7bc7b94dd7de897a74571e7024f0cf0d63b
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44845
- https://kc.mcafee.com/corporate/index?page=content&id=SB10356
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CCBFLLVQVILIVGZMBJL3IXZGKWQISYNP/
- https://mta.openssl.org/pipermail/openssl-announce/2021-March/000198.html
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0013
- https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
- https://security.gentoo.org/glsa/202103-03
- https://security.netapp.com/advisory/ntap-20210326-0006/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
- https://www.openssl.org/news/secadv/20210325.txt
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpuApr2021.html
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://www.oracle.com/security-alerts/cpuoct2021.html
- https://www.tenable.com/security/tns-2021-05
- https://www.tenable.com/security/tns-2021-08
- https://www.tenable.com/security/tns-2021-09