Dostupna su korektivna izdanja OpenSSL kriptografske biblioteke 3.0.1 i 1.1.1m. Verzija 3.0.1 je popravila ranjivost (CVE-2021-4044), a popravljeno je desetak grešaka u oba izdanja.
Ranjivost postoji u implementaciji SSL/TLS klijenata i povezana je s činjenicom da libssl biblioteka pogrešno rukuje negativnim kodovima grešaka koje vraća funkcija X509_verify_cert(), pozvana da provjeri certifikat koji je server proslijedio klijentu. Negativni kodovi se vraćaju kada se pojave interne greške, na primjer, ako se memorija ne može dodijeliti za međuspremnik. Ako se takva greška vrati, naredni pozivi I/O funkcijama kao što su SSL_connect() i SSL_do_handshake() će vratiti neuspjeh i SSL_ERROR_WANT_RETRY_VERIFY kod greške, koji bi trebao biti vraćen samo ako je aplikacija prethodno uputila poziv SSL_CTX_set_cert_verify_callback().
Budući da većina aplikacija ne poziva SSL_CTX_set_cert_verify_callback(), pojava SSL_ERROR_WANT_RETRY_VERIFY greške može biti pogrešno protumačena i rezultirati padom, petljom ili drugim neispravnim ponašanjem. Problem je najopasniji u kombinaciji s drugom greškom u OpenSSL 3.0, koja uzrokuje internu grešku prilikom obrade certifikata u X509_verify_cert() bez ekstenzije "Alternativno ime subjekta", ali sa vezama imena u ograničenjima upotrebe. U ovom slučaju, napad bi mogao dovesti do anomalija specifičnih za aplikaciju u rukovanju certifikatima i uspostavljanju TLS sesije.
izvor: opennet.ru