Loaʻa kahi hoʻokuʻu hoʻoponopono o ka OpenSSL cryptographic library 1.1.1l me ka hoʻopau ʻana i ʻelua mau nāwaliwali:
- ʻO CVE-2021-3711 kahi mea hoʻoheheʻe i loko o ke code e hoʻokō ana i ka SM2 cryptographic algorithm (maʻamau ma Kina), e hiki ai i ka 62 bytes ke kākau ʻia ma kahi wahi ma waho o ka palena paʻa ma muli o kahi hewa i ka helu ʻana i ka nui buffer. Hiki i ka mea hoʻouka ke hoʻokō i ka hoʻokō code a i ʻole ka hāʻule ʻana o ka noi ma ka hāʻawi ʻana i ka ʻikepili decoding kūikawā i nā noi e hoʻohana ana i ka hana EVP_PKEY_decrypt() e wehe i ka ʻikepili SM2.
- ʻO ka CVE-2021-3712 he mea hoʻoheheʻe ʻia i ka code processing string ASN.1, hiki ke hōʻeha i kahi noi a hōʻike paha i nā mea o ka hoʻomanaʻo kaʻina hana (no ka laʻana, e ʻike i nā kī i mālama ʻia i loko o ka hoʻomanaʻo) inā hiki i ka mea hoʻouka ke hana. he kaula i loko o ka hale ASN1_STRING i loko. ʻaʻole i hoʻopau ʻia e kahi huaʻōlelo null, a hana ia ma nā hana OpenSSL e paʻi i nā palapala hōʻoia, e like me X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() a me X509_get1_ocsp().
I ka manawa like, ua hoʻokuʻu ʻia nā mana hou o ka hale waihona puke LibreSSL 3.3.4 a me 3.2.6, ʻaʻole i hōʻike maopopo ʻia i nā nāwaliwali, akā i ka hoʻoholo ʻana ma ka papa inoa o nā loli, ua hoʻopau ʻia ka vulnerability CVE-2021-3712.
Source: opennet.ru