Tá scaoileadh ceartaitheach de leabharlann cripteagrafach OpenSSL 1.1.1l ar fáil le deireadh a chur le dhá leochaileacht:
- Is ró-shreabhadh maolánach é CVE-2021-3711 sa chód a chuireann an algartam cripteagrafach SM2 i bhfeidhm (coitianta sa tSín), a cheadaíonn suas le 62 beart a fhorscríobh i limistéar lasmuigh den teorainn maolánach mar gheall ar earráid agus an méid maoláin á ríomh. D'fhéadfadh ionsaitheoir forghníomhú cód nó cliseadh feidhmchláir a bhaint amach trí shonraí díchódaithe saindeartha a chur ar aghaidh chuig feidhmchláir a úsáideann an fheidhm EVP_PKEY_decrypt() chun sonraí SM2 a dhíchriptiú.
- Is forsreabhadh maolán é CVE-2021-3712 sa chód próiseála teaghrán ASN.1, rud a d'fhéadfadh a bheith ina chúis le timpiste feidhmchlár nó a nochtann inneachar cuimhne próisis (mar shampla, chun eochracha atá stóráilte sa chuimhne a aithint) má tá an t-ionsaitheoir in ann a ghiniúint ar bhealach éigin teaghrán sa struchtúr inmheánach ASN1_STRING. gan deireadh le carachtar null, agus próiseálfaidh sé i bhfeidhmeanna OpenSSL a phriontálann teastais, mar X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() agus X509_get1_ocsp().
Ag an am céanna, scaoileadh leaganacha nua de leabharlann LibreSSL 3.3.4 agus 3.2.6, nach luann go sainráite leochaileachtaí, ach de réir liosta na n-athruithe, cuireadh deireadh le leochaileacht CVE-2021-3712.
Foinse: oscailtenet.ru