Loaʻa kahi hoʻokuʻu mālama ʻana o ka OpenSSL cryptographic library 1.1.1k, kahi e hoʻoponopono ai i ʻelua mau nāwaliwali i hāʻawi ʻia i kahi pae koʻikoʻi kiʻekiʻe:
- CVE-2021-3450 - Hiki ke kāpae i ka hōʻoia ʻana o kahi palapala mana palapala i ka wā i hoʻohana ʻia ai ka hae X509_V_FLAG_X509_STRICT, kahi i hoʻopaʻa ʻole ʻia a hoʻohana ʻia e nānā hou i ka loaʻa ʻana o nā palapala hōʻoia i ke kaulahao. Ua hoʻokomo ʻia ka pilikia i ka hoʻokō ʻana o OpenSSL 1.1.1h i kahi hōʻoia hou e pāpā ana i ka hoʻohana ʻana i nā palapala hōʻoia i loko o kahi kaulahao e hoʻopili pono ai i nā ʻāpana elliptic curve.
Ma muli o kahi hewa i ke code, ua hoʻopau ka hōʻoia hou i ka hopena o kahi loiloi i hana mua ʻia no ka pololei o ka palapala mana hōʻoia. ʻO ka hopena, ʻo nā palapala hōʻoia i hōʻoia ʻia e kahi palapala hoʻopaʻa inoa ponoʻī, ʻaʻole i hoʻopili ʻia e kahi kaulahao hilinaʻi i kahi mana hōʻoia, ua mālama ʻia e like me ka hilinaʻi piha. ʻAʻole ʻike ʻia ka nāwaliwali inā hoʻonohonoho ʻia ka "kumu" koho, i hoʻonohonoho ʻia e ka mea paʻamau i ka mea kūʻai aku a me nā kaʻina hana hōʻoia hōʻoia ma libssl (hoʻohana ʻia no TLS).
- CVE-2021-3449 - Hiki ke hoʻokau i kahi kikowaena TLS ma o ka mea kūʻai aku e hoʻouna ana i kahi leka ClientHello i hana ʻia. Pili ka pilikia i ka NULL pointer dereference i ka hoʻokō ʻana i ka signature_algorithms extension. Loaʻa ka pilikia ma nā kikowaena e kākoʻo ana iā TLSv1.2 a hiki ke hoʻololi hou i ka pilina (hoʻohana ʻia e ka paʻamau).
Source: opennet.ru