Ang usa ka corrective nga pagpagawas sa OpenSSL cryptographic library 1.1.1l anaa uban sa pagwagtang sa duha ka mga kahuyangan:
- Ang CVE-2021-3711 usa ka buffer overflow sa code nga nagpatuman sa SM2 cryptographic algorithm (komon sa China), nga nagtugot hangtod sa 62 bytes nga ma-overwrit sa usa ka lugar nga lapas sa buffer boundary tungod sa usa ka sayup sa pagkalkula sa gidak-on sa buffer. Mahimong makab-ot sa usa ka tig-atake ang pagpatuman sa code o pagkahagsa sa aplikasyon pinaagi sa pagpasa sa espesyal nga gihimo nga decoding data ngadto sa mga aplikasyon nga naggamit sa EVP_PKEY_decrypt() function sa pag-decrypt sa SM2 data.
- Ang CVE-2021-3712 usa ka buffer overflow sa ASN.1 string processing code, nga mahimong hinungdan sa pag-crash sa aplikasyon o pagpadayag sa mga sulod sa memorya sa proseso (pananglitan, aron mailhan ang mga yawe nga gitipigan sa memorya) kung ang tig-atake sa usa ka paagi makahimo sa paghimo. usa ka string sa internal nga istruktura sa ASN1_STRING. dili gitapos sa usa ka null nga karakter, ug iproseso kini sa mga function sa OpenSSL nga nag-imprinta og mga sertipiko, sama sa X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() ug X509_get1_ocsp().
Sa samang higayon, ang mga bag-ong bersyon sa LibreSSL library 3.3.4 ug 3.2.6 gibuhian, nga wala tin-aw nga naghisgot sa mga kahuyangan, apan sa paghukom sa listahan sa mga pagbag-o, ang CVE-2021-3712 nga kahuyang giwagtang.
Source: opennet.ru