version corrective de la bibliothèque cryptographique , dans lequel il est éliminé (), conduisant à un déni de service lors d'une tentative de négociation d'une connexion TLS 1.3 avec un serveur ou un client contrôlé par un attaquant. La vulnérabilité est classée comme étant de gravité élevée.
Le problème n'apparaît que dans les applications qui utilisent la fonction SSL_check_chain() et provoque le blocage du processus si l'extension TLS « signature_algorithms_cert » est utilisée de manière incorrecte. En particulier, si le processus de négociation de connexion reçoit une valeur non prise en charge ou incorrecte pour l'algorithme de traitement de signature numérique, un déréférencement de pointeur NULL se produit et le processus se bloque. Le problème apparaît depuis la sortie d'OpenSSL 1.1.1d.
Source: opennet.ru