CVE-2021-3712 и CVE-2021-3711

Следуй своей аватарке.

Сначала китайские устройства обновляй, а то американцы управление руткитами перехватят.

Учти, что это тебе случайный человек в интернете сказал. Возможно, не стоит основывать свою защиту на словах случайных людей на форумах.

CVE-2021-3711 - тут просто. Судя по https://www.openssl.org/news/secadv/20210824.txt, уязвимы только SM2 примитивы. SM2 - это китайские шифры (https://www.openssl.org/docs/manmaster/man7/SM2.html). По-моему, они в openssl из типового дистрибутива просто не включены, так что опасности нет. Если у тебя включены, можно в конфиге выключить (я не уверен, кстати, что для них есть TLS cipher suites) и это тоже проблему должно решить.

С CVE-2021-3712 сложнее. Опять же, судя по https://www.openssl.org/news/secadv/20210824.txt, ASN.1 строки напрямую не используются, и только если приложение собирает вручную строку (для использования потом в каком-то примитиве, например) то это может быть проблемой. Мне кажется, nginx так не делает, но в исходники смотреть лень. Такое может делать приложение, которое сам делает более низкоуровневую криптографию, чем nginx, который просто TLS зовёт. Второе подозрительное место - «The same thing can also occur during name constraints processing of certificates (for example if a certificate has been directly constructed by the application instead of loading it via the OpenSSL parsing functions». Я думаю, nginx не парсит сертификаты напрямую, а загружает их через соответствующие функции OpenSSL. Но, возможно что-то подобное происходит, когда используются клиентские сертификаты и он во внутренние переменные записывает аттрибуты из сертификатов. Поэтому, если у тебя где-то используется mTLS, возможно, стоит обновить поскорее. А если не используется, вероятно, это не проблема.

nginx и есть та самая «башня аисберга» уязвимость уровня ро хочешь читоты используешь апач , а пользуясь конторами которые некогда украли смежную технологию и надеяться что они у тебя что не сопрут ну так себе

Ты что несешь?

openssl list -public-key-methods | grep -ai sm -A1

В убунточке всё на месте.

Обновился, буду надеяться что всё впорядке

я про cipher suites из https://tools.ietf.org/id/draft-yang-tls-tls13-sm-suites-00.html.

А , то что твои чувачки увидели авто создаваемые MATLAB чуть их подправили и сказали что они изобрели новинку

openssl ecparam -list_curves | grep SM2

Специально для тебя, которому нужен скаляр всепропалости, придумана такая штука как CVSS scores, бывают с поправкой на твой дистрибутив.

Уже пора с горяещй жопой обновлять все хосты

Уже давно пора всегда, перманентно.

Спасибо за развёрнутый ответ!