OpenSSL 3.0.1 eta 1.1.1m liburutegi kriptografikoaren bertsio zuzentzaileak eskuragarri daude. 3.0.1 bertsioak ahultasuna konpondu zuen (CVE-2021-4044), eta dozena bat akats konpondu ziren bi bertsioetan.
Ahultasuna SSL/TLS bezeroen inplementazioan dago eta libssl liburutegiak X509_verify_cert() funtzioak itzultzen dituen errore-kode negatiboak gaizki kudeatzen dituenarekin lotuta dago, zerbitzariak bezeroari emandako ziurtagiria egiaztatzeko deitutakoa. Kode negatiboak itzultzen dira barne-erroreak gertatzen direnean, adibidez, memoria ezin bada esleitu buffererako. Errore bat itzultzen bada, SSL_connect() eta SSL_do_handshake() bezalako SSL_connect() eta SSL_do_handshake() bezalako I/O funtzioetara egindako deiak hutsegite eta SSL_ERROR_WANT_RETRY_VERIFY errore-kode bat itzuliko dira, aplikazioak aurretik SSL_CTX_set_cert_verify_callback()-ra dei bat egin badu soilik itzuli beharko litzatekeena.
Aplikazio gehienek SSL_CTX_set_cert_verify_callback(ri) deitzen ez dutenez, SSL_ERROR_WANT_RETRY_VERIFY errore bat agertzea gaizki interpretatu daiteke eta hutsegite bat, begizta bat edo beste erantzun oker bat eragin dezake. Arazoa arriskutsuena da OpenSSL 3.0-ko beste akats batekin konbinatuta, eta horrek barne-errore bat eragiten du X509_verify_cert()-n ziurtagiriak prozesatzen dituenean "Subject Alternative Name" luzapenik gabe, baina erabilera-murrizketetan izen-loturarekin. Kasu honetan, erasoak aplikazioaren berariazko anomaliak ekar ditzake ziurtagirien kudeaketan eta TLS saioaren ezarpenean.
Iturria: opennet.ru