Ang mga corrective release sa OpenSSL cryptographic library 3.0.1 ug 1.1.1m anaa. Giayo sa Bersyon 3.0.1 ang pagkahuyang (CVE-2021-4044), ug mga usa ka dosena nga mga bug ang giayo sa parehas nga pagpagawas.
Ang pagkahuyang anaa sa pagpatuman sa mga kliyente sa SSL/TLS ug nalangkit sa kamatuoran nga ang librarya sa libssl sayop nga nagdumala sa negatibong mga error code nga gibalik sa X509_verify_cert() function, nga gitawag aron sa pagsusi sa sertipiko nga gipasa sa kliyente sa server. Ang negatibo nga mga code ibalik kung adunay mga internal nga sayup, pananglitan, kung ang memorya dili magahin alang sa buffer. Kung ibalik ang ingon nga sayup, ang sunod nga mga tawag sa mga function sa I/O sama sa SSL_connect() ug SSL_do_handshake() mobalik nga kapakyasan ug usa ka SSL_ERROR_WANT_RETRY_VERIFY error code, nga kinahanglan lang ibalik kung ang aplikasyon nakatawag kaniadto sa SSL_CTX_set_cert_verify_callback().
Tungod kay ang kadaghanan sa mga aplikasyon dili motawag sa SSL_CTX_set_cert_verify_callback(), ang pagtungha sa SSL_ERROR_WANT_RETRY_VERIFY nga sayop mahimong ma-misinterpret ug moresulta sa pagkahagsa, loop, o uban pang sayop nga tubag. Ang problema labing delikado sa kombinasyon sa laing bug sa OpenSSL 3.0, nga maoy hinungdan sa internal nga sayop sa pagproseso sa mga sertipiko sa X509_verify_cert() nga walay extension nga "Subject Alternative Name", apan adunay mga pagbugkos sa ngalan sa mga restriksyon sa paggamit. Sa kini nga kaso, ang pag-atake mahimong mosangpot sa mga anomaliya nga piho sa aplikasyon sa pagdumala sa sertipiko ug pagtukod sa sesyon sa TLS.
Source: opennet.ru