إصدار تصحيحي لمكتبة التشفير ، في اي () يؤدي إلى رفض الخدمة عند محاولة التفاوض على اتصال TLS 1.3 مع خادم أو عميل يتحكم فيه المهاجم. تم تعيين مستوى خطورة عالية للثغرة الأمنية.
تظهر المشكلة فقط في التطبيقات التي تستخدم وظيفة SSL_check_chain () ، وتؤدي إلى تعطل العملية إذا تم استخدام امتداد TLS "signature_algorithms_cert" بشكل غير صحيح. على وجه الخصوص ، عند تلقي قيمة غير مدعومة أو غير صالحة لخوارزمية معالجة التوقيع الرقمي أثناء عملية تفاوض الاتصال ، يحدث إلغاء مرجعي للمؤشر وتتعطل العملية. كانت المشكلة موجودة منذ إصدار OpenSSL 1.1.1d.
المصدر: opennet.ru