Tha foillseachadh cumail suas de leabharlann criptografach OpenSSL 1.1.1k ri fhaighinn, a shocraicheas dà chugallachd a tha air an sònrachadh aig ìre àrd de dhragh:
- CVE-2021-3450 - 'S urrainn dhut a dhol seachad air dearbhadh teisteanas ùghdarras teisteanachaidh nuair a bhios a' bhratach X509_V_FLAG_X509_STRICT an comas, a tha à comas a ghnàth agus a chleachdar cuideachd gus sùil a chumail air làthaireachd theisteanasan san t-sreath. Chaidh an duilgheadas a thoirt a-steach ann am buileachadh OpenSSL 1.1.1h seic ùr a tha a’ toirmeasg cleachdadh theisteanasan ann an slabhraidh a chòdaicheas gu soilleir paramadairean lùbte elliptic.
Air sgàth mearachd sa chòd, chaidh an t-seic ùr thairis air toradh sgrùdadh a chaidh a dhèanamh roimhe airson ceartachd teisteanas an ùghdarrais teisteanais. Mar thoradh air an sin, chaidh dèiligeadh ri teisteanasan air an dearbhadh le teisteanas fèin-shoidhnichte, nach eil ceangailte le sèine earbsa ri ùghdarras teisteanais, mar làn earbsa. Chan eil an so-leòntachd a’ nochdadh ma tha am paramadair “adhbhar” air a shuidheachadh, a tha air a shuidheachadh gu bunaiteach ann am modhan dearbhaidh teisteanas teachdaiche is frithealaiche ann an libssl (air a chleachdadh airson TLS).
- CVE-2021-3449 - Tha e comasach tubaist frithealaiche TLS adhbhrachadh tro neach-dèiligidh a ’cur teachdaireachd ClientHello a chaidh a dhealbhadh gu sònraichte. Tha a’ chùis co-cheangailte ri iomradh puing NULL ann a bhith a’ buileachadh an leudachain sign_algorithms. Chan eil a’ chùis a’ tachairt ach air frithealaichean a tha a’ toirt taic do TLSv1.2 agus a’ comasachadh ath-rèiteachadh ceangail (air a chomasachadh gu bunaiteach).
Source: fosgailtenet.ru