Tha foillseachadh ceartachaidh de leabharlann criptografach OpenSSL 1.1.1l ri fhaighinn le cuir às do dhà so-leòntachd:
- Tha CVE-2021-3711 na thar-shruth bufair anns a ’chòd a’ cur an gnìomh an algairim criptografach SM2 (cumanta ann an Sìona), a leigeas le suas ri 62 bytes a bhith air an sgrìobhadh thairis ann an sgìre taobh a-muigh a ’chrìoch bufair air sgàth mearachd ann a bhith ag obrachadh a-mach meud bufair. Dh’ fhaodadh neach-ionnsaigh coileanadh còd no tubaist tagraidh a choileanadh le bhith a’ toirt seachad dàta dì-chòdaidh sònraichte gu tagraidhean a chleachdas an gnìomh EVP_PKEY_decrypt() gus dàta SM2 a dhì-chrioptachadh.
- Tha CVE-2021-3712 na thar-shruth bufair ann an còd giullachd sreang ASN.1, a dh’ fhaodadh tubaist tagraidh adhbhrachadh no susbaint cuimhne pròiseas a nochdadh (mar eisimpleir, gus iuchraichean a tha air an stòradh sa chuimhne a chomharrachadh) ma tha an neach-ionnsaigh comasach air gineadh ann an dòigh air choreigin. sreang anns an structar ASN1_STRING a-staigh.
Aig an aon àm, chaidh dreachan ùra de leabharlann LibreSSL 3.3.4 agus 3.2.6 a leigeil ma sgaoil, nach eil gu soilleir a ’toirt iomradh air so-leòntachd, ach a’ breithneachadh leis an liosta atharrachaidhean, chaidh cuir às do so-leòntachd CVE-2021-3712.
Source: fosgailtenet.ru
