korrigerende frigivelse af det kryptografiske bibliotek , hvor det er elimineret (), hvilket fører til et lammelsesangreb, når du forsøger at forhandle en TLS 1.3-forbindelse med en angriberstyret server eller klient. Sårbarheden vurderes som høj alvorlig.
Problemet vises kun i applikationer, der bruger SSL_check_chain()-funktionen og får processen til at gå ned, hvis TLS-udvidelsen "signature_algorithms_cert" bruges forkert. Især hvis forbindelsesforhandlingsprocessen modtager en ikke-understøttet eller forkert værdi for den digitale signaturbehandlingsalgoritme, opstår der en NULL-pointer-dereference, og processen går ned. Problemet opstår siden udgivelsen af OpenSSL 1.1.1d.
Kilde: opennet.ru