OpenSSL kriptoqrafik kitabxanasının 3.0.1 və 1.1.1m düzəldici buraxılışları mövcuddur. Versiya 3.0.1 zəifliyi aradan qaldırdı (CVE-2021-4044) və hər iki buraxılışda təxminən onlarla baq düzəldilib.
Boşluq SSL/TLS müştərilərinin tətbiqində mövcuddur və libssl kitabxanasının server tərəfindən müştəriyə ötürülən sertifikatı yoxlamaq üçün çağırılan X509_verify_cert() funksiyası tərəfindən qaytarılan mənfi xəta kodlarını düzgün idarə etməməsi ilə əlaqədardır. Daxili xətalar baş verdikdə, məsələn, yaddaş bufer üçün ayrıla bilmirsə, mənfi kodlar qaytarılır. Əgər belə bir xəta qaytarılarsa, SSL_connect() və SSL_do_handshake() kimi I/O funksiyalarına edilən sonrakı zənglər uğursuzluq və SSL_ERROR_WANT_RETRY_VERIFY xəta kodunu qaytaracaq ki, bu da yalnız proqram əvvəllər SSL_CTX_set_cert_verify(verify) xidmətinə zəng edibsə, qaytarılmalıdır.
Əksər proqramlar SSL_CTX_set_cert_verify_callback() funksiyasına zəng etmədiyi üçün SSL_ERROR_WANT_RETRY_VERIFY xətasının baş verməsi səhv şərh edilə bilər və qəza, döngə və ya digər yanlış cavabla nəticələnə bilər. Problem OpenSSL 3.0-da başqa bir səhvlə birlikdə ən təhlükəlidir ki, bu da X509_verify_cert()-də "Mövzu Alternativ Adı" genişlənməsi olmadan, lakin istifadə məhdudiyyətlərində ad bağlamaları olan sertifikatları emal edərkən daxili xətaya səbəb olur. Bu halda, hücum sertifikatların idarə edilməsində və TLS sessiyasının qurulmasında tətbiqə xas anomaliyalara səbəb ola bilər.
Mənbə: opennet.ru