Kev kho qhov tso tawm ntawm OpenSSL cryptographic tsev qiv ntawv 3.0.1 thiab 1.1.1m muaj. Version 3.0.1 tau kho qhov tsis zoo (CVE-2021-4044), thiab txog kaum kaum kab tau kho nyob rau hauv ob qho tib si tawm.
Qhov tsis zoo muaj nyob rau hauv kev siv SSL / TLS cov neeg siv khoom thiab muaj feem cuam tshuam nrog qhov tseeb tias libssl lub tsev qiv ntawv tsis raug tswj xyuas cov lej tsis zoo rov qab los ntawm X509_verify_cert() muaj nuj nqi, hu rau kev txheeb xyuas daim ntawv pov thawj dhau mus rau tus neeg siv khoom los ntawm lub server. Cov lej tsis zoo raug xa rov qab thaum muaj teeb meem sab hauv, piv txwv li, yog tias lub cim xeeb tsis tuaj yeem faib rau qhov tsis. Yog tias qhov ua yuam kev no raug xa rov qab, kev hu xov tooj tom qab rau I / O ua haujlwm xws li SSL_connect() thiab SSL_do_handshake() yuav rov qab tsis ua haujlwm thiab SSL_ERROR_WANT_RETRY_VERIFY yuam kev code, uas yuav tsum tsuas yog xa rov qab yog tias daim ntawv thov tau hu ua ntej rau SSL_CTX_set_cert_verify_
Txij li feem ntau cov ntawv thov tsis hu rau SSL_CTX_set_cert_verify_callback(), qhov tshwm sim ntawm qhov yuam kev SSL_ERROR_WANT_RETRY_VERIFY tuaj yeem txhais tsis raug thiab ua rau muaj kev sib tsoo, voj, lossis lwm yam lus teb tsis raug. Qhov teeb meem yog qhov txaus ntshai tshaj plaws nrog rau lwm cov kab laum hauv OpenSSL 3.0, uas ua rau muaj qhov yuam kev sab hauv thaum ua cov ntawv pov thawj hauv X509_verify_cert() yam tsis muaj "Subject Alternative Name" txuas ntxiv, tab sis nrog lub npe khi hauv kev txwv kev siv. Hauv qhov no, qhov kev tawm tsam tuaj yeem ua rau muaj kev tsis txaus ntseeg tshwj xeeb hauv kev tuav pov thawj thiab TLS kev sib ntsib.
Tau qhov twg los: opennet.ru