Ang usa ka pagpagawas sa pagpadayon sa OpenSSL cryptographic library 1.1.1k anaa, nga nag-ayo sa duha ka mga kahuyangan nga gi-assign sa taas nga lebel sa kagrabe:
- CVE-2021-3450 - Posibilidad sa pag-bypass sa pag-verify sa usa ka sertipiko sa awtoridad nga sertipiko kung gipagana ang X509_V_FLAG_X509_STRICT nga bandila, nga gi-disable pinaagi sa default ug gigamit aron dugang nga susihon ang presensya sa mga sertipiko sa kadena. Gipaila ang problema sa pagpatuman sa OpenSSL 1.1.1h sa usa ka bag-ong tseke nga nagdili sa paggamit sa mga sertipiko sa usa ka kadena nga klaro nga nag-encode sa mga parameter sa elliptic curve.
Tungod sa usa ka sayup sa code, ang bag-ong tseke nag-overrode sa resulta sa usa ka kaniadto nga gihimo nga pagsusi alang sa pagkahusto sa sertipiko sa awtoridad sa sertipikasyon. Ingon usa ka sangputanan, ang mga sertipiko nga gipamatud-an sa usa ka gipirmahan sa kaugalingon nga sertipiko, nga wala gisumpay sa usa ka kutay sa pagsalig sa usa ka awtoridad sa sertipikasyon, giisip nga hingpit nga kasaligan. Ang pagkahuyang dili makita kung ang parameter nga "katuyoan" gitakda, nga gitakda nga default sa mga pamaagi sa pag-verify sa sertipiko sa kliyente ug server sa libssl (gigamit alang sa TLS).
- CVE-2021-3449 - Posible nga hinungdan sa usa ka TLS server crash pinaagi sa usa ka kliyente nga nagpadala sa usa ka espesyal nga crafted ClientHello mensahe. Ang isyu may kalabutan sa NULL pointer dereference sa pagpatuman sa signature_algorithms extension. Ang isyu mahitabo lamang sa mga server nga nagsuporta sa TLSv1.2 ug makahimo sa pag-renegotiation sa koneksyon (gipaandar pinaagi sa default).
Source: opennet.ru