OpenSSL risolve gravi vulnerabilità di convalida dei certificati e DoS.



Oggi, il progetto #OpenSSL ha pubblicato un bollettino per due #vulnerabilità ad alta gravità CVE-2021-3449 e CVE-2021-3450 nei prodotti OpenSSL.


OpenSSL è una #libreria #software comunemente utilizzata per la creazione di applicazioni e #server di rete che devono stabilire #comunicazioni sicure.


Le vulnerabilità sono:


1) CVE-2021-3449 : un difetto Denial of Service (#DoS) dovuto alla dereferenziazione del puntatore NULL che influisce solo sulle istanze del server OpenSSL, non sui client.


2) CVE-2021-3450 : vulnerabilità di convalida del #certificato dell'Authority di certificazione (#CA) che influisce sulle istanze del server e del #client.


La vulnerabilità interessa solo i server OpenSSL che eseguono versioni comprese tra 1.1.1 e 1.1.1j (entrambe incluse).


Tuttavia, poiché questa è la configurazione predefinita del server OpenSSL, molti dei server attivi potrebbero essere potenzialmente vulnerabili.


#redhotcyber #cybersecurity #technology #hacking #hacker #infosec #patching


https://www.openssl.org/news/secadv/20210325.txt