liberación correctiva da biblioteca criptográfica , no que se elimina (), levando a unha denegación de servizo ao intentar negociar unha conexión TLS 1.3 cun servidor ou cliente controlado polo atacante. A vulnerabilidade está clasificada como de alta gravidade.
O problema só aparece nas aplicacións que usan a función SSL_check_chain() e fai que o proceso falle se a extensión TLS "signature_algorithms_cert" se usa incorrectamente. En particular, se o proceso de negociación da conexión recibe un valor incorrecto ou non compatible para o algoritmo de procesamento de sinatura dixital, prodúcese unha desreferencia do punteiro NULL e o proceso falla. O problema aparece dende o lanzamento de OpenSSL 1.1.1d.
Fonte: opennet.ru