Yon lage korektif nan bibliyotèk kriptografik OpenSSL 1.1.1l disponib ak eliminasyon de frajilite:
- CVE-2021-3711 se yon debòde tanpon nan kòd la mete ann aplikasyon algorithm kriptografik SM2 (komen nan peyi Lachin), ki pèmèt jiska 62 byte yo dwe ranplase nan yon zòn ki depase limit tanpon an akòz yon erè nan kalkile gwosè tanpon an. Yon atakè kapab reyalize ekzekisyon kòd oswa aksidan aplikasyon lè li pase done dekodaj ki fèt espesyalman pou aplikasyon ki itilize fonksyon EVP_PKEY_decrypt() pou dechifre done SM2.
- CVE-2021-3712 se yon debòde tanpon nan kòd pwosesis fisèl ASN.1, ki ka lakòz yon aksidan aplikasyon oswa revele sa ki nan memwa pwosesis (pa egzanp, yo idantifye kle ki estoke nan memwa) si atakè a se yon jan kanmenm kapab jenere yon fisèl nan estrikti entèn ASN1_STRING la pa sispann pa yon karaktè nil, epi trete li nan fonksyon OpenSSL ki enprime sètifika, tankou X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() ak X509_get1_ocsp().
An menm tan an, nouvo vèsyon LibreSSL bibliyotèk 3.3.4 ak 3.2.6 yo te lage, ki pa klèman mansyone frajilite, men jije pa lis chanjman yo, vilnerabilite CVE-2021-3712 yo te elimine.
Sous: opennet.ru