Saadaval on OpenSSL-i krüptoteegi 3.0.1 ja 1.1.1m parandavad väljaanded. Versioon 3.0.1 parandas haavatavuse (CVE-2021-4044) ja mõlemas versioonis parandati kümmekond viga.
Haavatavus esineb SSL/TLS-i klientide juurutamisel ja on seotud asjaoluga, et libssl teek käsitleb valesti negatiivseid veakoode, mille tagastab funktsioon X509_verify_cert(), mida kutsutakse serveri poolt kliendile edastatud sertifikaadi kontrollimiseks. Negatiivsed koodid tagastatakse sisemiste vigade ilmnemisel, näiteks kui puhvri jaoks ei saa mälu eraldada. Kui selline tõrge tagastatakse, tagastavad järgmised I/O-funktsioonide (nt SSL_connect() ja SSL_do_handshake() kõned vea ja veakoodi SSL_ERROR_WANT_RETRY_VERIFY, mis tuleks tagastada ainult siis, kui rakendus on varem helistanud SSL_CTX_set_cert(verify_callback).
Kuna enamik rakendusi ei kutsu SSL_CTX_set_cert_verify_callback(), võib SSL_ERROR_WANT_RETRY_VERIFY tõrke ilmnemist valesti tõlgendada ja see võib põhjustada krahhi, tsükli või muu vale vastuse. Probleem on kõige ohtlikum koos mõne teise OpenSSL 3.0 veaga, mis põhjustab sisemise tõrke sertifikaatide töötlemisel X509_verify_cert() ilma laiendita "Subject Alternative Name", kuid kasutuspiirangutes on nimesidumine. Sel juhul võib rünnak põhjustada rakendusespetsiifilisi kõrvalekaldeid sertifikaatide käsitlemisel ja TLS-i seansi loomisel.
Allikas: opennet.ru