OpenSSL kriptoqrafik kitabxanasının 1.1.1l düzəldici buraxılışı iki zəifliyin aradan qaldırılması ilə mövcuddur:
- CVE-2021-3711 SM2 kriptoqrafik alqoritmini həyata keçirən kodda bufer daşmasıdır (Çində geniş yayılmışdır), bufer ölçüsünün hesablanmasında baş verən xəta səbəbindən bufer sərhədindən kənar ərazidə 62 bayta qədərin üzərinə yazılmağa imkan verir. Təcavüzkar SM2 məlumatının şifrəsini açmaq üçün EVP_PKEY_decrypt() funksiyasından istifadə edən proqramlara xüsusi hazırlanmış deşifrə məlumatlarını ötürməklə potensial olaraq kodun icrasına və ya proqramın çökməsinə nail ola bilər.
- CVE-2021-3712 ASN.1 sətir emal kodundakı bufer daşmasıdır və bu, tətbiqin çökməsinə səbəb ola bilər və ya təcavüzkar hansısa yolla yarada bilirsə, proses yaddaşının məzmununu (məsələn, yaddaşda saxlanılan açarları müəyyən etmək üçün) aşkar edə bilər. daxili ASN1_STRING strukturunda sətir. null simvolu ilə dayandırılmamış və onu X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() və X509_get1_ocsp() kimi sertifikatları çap edən OpenSSL funksiyalarında emal edin.
Eyni zamanda, LibreSSL kitabxanasının 3.3.4 və 3.2.6-nın yeni versiyaları buraxıldı ki, burada zəifliklər açıq şəkildə qeyd olunmur, lakin dəyişikliklər siyahısına əsasən, CVE-2021-3712 zəifliyi aradan qaldırılıb.
Mənbə: opennet.ru