lanzamiento correctivo de la biblioteca criptográfica , en el que se elimina (), lo que provoca una denegación de servicio al intentar negociar una conexión TLS 1.3 con un servidor o cliente controlado por un atacante. La vulnerabilidad se clasifica como de alta gravedad.
El problema sólo aparece en aplicaciones que utilizan la función SSL_check_chain() y provoca que el proceso se bloquee si la extensión TLS "signature_algorithms_cert" se utiliza incorrectamente. En particular, si el proceso de negociación de conexión recibe un valor incorrecto o no admitido para el algoritmo de procesamiento de firma digital, se produce una desreferencia del puntero NULL y el proceso falla. El problema aparece desde el lanzamiento de OpenSSL 1.1.1d.
Fuente: opennet.ru