korekta liberigo de la kriptografa biblioteko , en kiu ĝi estas forigita (), kondukante al neo de servo kiam oni provas negoci TLS 1.3-konekton kun atakanto-kontrolita servilo aŭ kliento. La vundebleco estas taksita kiel alta severeco.
La problemo nur aperas en aplikaĵoj, kiuj uzas la funkcion SSL_check_chain() kaj kaŭzas la procezon kraŝi se la TLS-etendo "signature_algorithms_cert" estas uzata malĝuste. Aparte, se la ligintertraktadprocezo ricevas nesubtenan aŭ malĝustan valoron por la cifereca subskriba pretigalgoritmo, NULL-montrila dereferenco okazas kaj la procezo kraŝas. La problemo aperas ekde la liberigo de OpenSSL 1.1.1d.
fonto: opennet.ru