Loaʻa nā hoʻokuʻu hoʻoponopono o ka OpenSSL cryptographic library 3.0.1 a me 1.1.1m. Ua hoʻoponopono ʻo Version 3.0.1 i ka vulnerability (CVE-2021-4044), a ua hoʻopaʻa ʻia ma kahi o hoʻokahi kakini pahu i nā hoʻokuʻu ʻelua.
Aia ka vulnerability i ka hoʻokō ʻana o nā mea kūʻai aku SSL/TLS a pili i ka ʻoiaʻiʻo o ka libssl hale waihona puke e lawelawe hewa ana i nā code hewa hewa i hoʻihoʻi ʻia e ka hana X509_verify_cert(), i kāhea ʻia e hōʻoia i ka palapala i hāʻawi ʻia i ka mea kūʻai mai e ke kikowaena. Hoʻihoʻi ʻia nā code ʻino ke loaʻa nā hewa kūloko, no ka laʻana, inā ʻaʻole hiki ke hoʻokaʻawale ʻia ka hoʻomanaʻo no ka buffer. Inā hoʻihoʻi ʻia kēlā hewa, e hoʻihoʻi nā kelepona i nā hana I/O e like me SSL_connect() a me SSL_do_handshake() i ka hemahema a me kahi code hewa SSL_ERROR_WANT_RETRY_VERIFY, pono e hoʻihoʻi ʻia inā ua kāhea mua ka palapala noi iā SSL_CTX_set_cert_verify_callback().
No ka mea, ʻaʻole kāhea ka hapa nui o nā noi i ka SSL_CTX_set_cert_verify_callback(), hiki ke kuhi hewa ʻia ka hiki ʻana mai o kahi hewa SSL_ERROR_WANT_RETRY_VERIFY a hopena i ka hāʻule, loop, a i ʻole nā pane hewa ʻē aʻe. ʻOi aku ka pōʻino o ka pilikia i ka hui pū ʻana me kekahi bug ma OpenSSL 3.0, kahi mea e hoʻopiʻi ai i ka hewa kūloko i ka wā e hoʻoili ai i nā palapala hōʻoia ma X509_verify_cert() me ka ʻole o ka "Subject Alternative Name" hoʻonui, akā me nā paʻa inoa i nā palena hoʻohana. I kēia hihia, hiki i ka hoʻouka ʻana ke alakaʻi i nā anomalies kikoʻī o ka noi i ka lawelawe ʻana i ka palapala hōʻoia a me ka hoʻokumu ʻana o ka hālāwai TLS.
Source: opennet.ru