kryptografisen kirjaston korjaava vapauttaminen , jossa se poistetaan (), joka johtaa palvelunestoon, kun yritetään neuvotella TLS 1.3 -yhteydestä hyökkääjän hallitseman palvelimen tai asiakkaan kanssa. Haavoittuvuus on luokiteltu erittäin vakavaksi.
Ongelma ilmenee vain sovelluksissa, jotka käyttävät SSL_check_chain()-funktiota ja aiheuttaa prosessin kaatumisen, jos TLS-laajennusta "signature_algorithms_cert" käytetään väärin. Erityisesti, jos yhteysneuvotteluprosessi vastaanottaa digitaalisen allekirjoituksen käsittelyalgoritmille ei-tuetun tai väärän arvon, tapahtuu NULL-osoittimen viittaus ja prosessi kaatuu. Ongelma on ilmennyt OpenSSL 1.1.1d:n julkaisun jälkeen.
Lähde: opennet.ru