Dostupno je korektivno izdanje OpenSSL kriptografske biblioteke 1.1.1l s uklanjanjem dviju ranjivosti:
- CVE-2021-3711 je prekoračenje međuspremnika u kodu koji implementira kriptografski algoritam SM2 (uobičajen u Kini), koji dopušta prebrisanje do 62 bajta u području izvan granice međuspremnika zbog pogreške u izračunavanju veličine međuspremnika. Napadač bi potencijalno mogao postići izvršenje koda ili pad aplikacije prosljeđivanjem posebno izrađenih podataka za dekodiranje aplikacijama koje koriste funkciju EVP_PKEY_decrypt() za dekriptiranje SM2 podataka.
- CVE-2021-3712 je prekoračenje međuspremnika u kodu za obradu niza ASN.1, što može uzrokovati rušenje aplikacije ili otkriti sadržaj procesne memorije (na primjer, za identifikaciju ključeva pohranjenih u memoriji) ako napadač na neki način može generirati niz u internoj ASN1_STRING strukturi. koji nije prekinut nultim znakom i obrađuje ga u OpenSSL funkcijama koje ispisuju certifikate, kao što su X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() i X509_get1_ocsp().
Istovremeno su objavljene nove verzije LibreSSL biblioteke 3.3.4 i 3.2.6 u kojima se izričito ne spominju ranjivosti, no sudeći prema popisu promjena, ranjivost CVE-2021-3712 je eliminirana.
Izvor: opennet.ru