የOpenSSL ምስጠራ ቤተ-መጽሐፍት 1.1.1l ማስተካከያ ሁለት ተጋላጭነቶችን በማስወገድ ይገኛል።
- CVE-2021-3711 የ SM2 ክሪፕቶግራፊክ ስልተ ቀመር (በቻይና ውስጥ የተለመደ) በመተግበር ኮድ ውስጥ ያለ ቋት ሞልቶ የሚፈስ ሲሆን ይህም የቋት መጠኑን በማስላት ላይ ባለ ስህተት ምክንያት እስከ 62 ባይት ከጠባቂ ወሰን በላይ በሆነ ቦታ ላይ እንዲፃፍ ያስችላል። አንድ አጥቂ የSM2 ውሂብን ለመበተን የEVP_PKEY_decrypt() ተግባርን ወደሚጠቀሙ መተግበሪያዎች በልዩ ሁኔታ የተሰራ የመግለጫ ዳታ በማስተላለፍ የኮድ አፈፃፀምን ወይም የመተግበሪያ ብልሽትን ሊያሳካ ይችላል።
- CVE-2021-3712 አጥቂው እንደምንም ማመንጨት ከቻለ የመተግበሪያ ብልሽት ሊያመጣ ወይም የሂደት ማህደረ ትውስታን (ለምሳሌ በማህደረ ትውስታ ውስጥ የተቀመጡ ቁልፎችን ለመለየት) በ ASN.1 string Processing ኮድ ውስጥ ያለ ቋት ሞልቶ የሚፈስ ነው። በውስጣዊ የASN1_STRING መዋቅር ውስጥ ያለ ሕብረቁምፊ። ባዶ ቁምፊ ያልተቋረጠ፣ እና እንደ X509_aux_print()፣ X509_get1_email()፣ X509_REQ_get1_email() እና X509_get1_ocsp() ያሉ የምስክር ወረቀቶችን በሚያትሙ የSSL ተግባራት ውስጥ ያስኬዱት።
በተመሳሳይ ጊዜ, የሊብሬኤስኤል ቤተ-መጽሐፍት 3.3.4 እና 3.2.6 አዳዲስ ስሪቶች ተለቀቁ, እነዚህም ድክመቶችን በግልጽ አይገልጹም, ነገር ግን በለውጦቹ ዝርዝር ውስጥ በመመዘን, የ CVE-2021-3712 ተጋላጭነት ተወግዷል.
ምንጭ: opennet.ru