Elérhető az OpenSSL kriptográfiai könyvtár 1.1.1l javító kiadása két sebezhetőség kiküszöbölésével:
- A CVE-2021-3711 egy puffertúlcsordulás az SM2 kriptográfiai algoritmust megvalósító kódban (Kínában elterjedt), amely lehetővé teszi akár 62 bájt felülírását a pufferhatáron túli területen a pufferméret számításának hibája miatt. A támadó esetleg kódfuttatást vagy alkalmazás összeomlást érhet el, ha speciálisan kialakított dekódolási adatokat ad át olyan alkalmazásoknak, amelyek az EVP_PKEY_decrypt() függvényt használják az SM2 adatok visszafejtésére.
- A CVE-2021-3712 egy puffertúlcsordulás az ASN.1 karakterlánc-feldolgozási kódban, amely alkalmazás összeomlását okozhatja, vagy felfedheti a folyamatmemória tartalmát (például a memóriában tárolt kulcsok azonosításához), ha a támadó valamilyen módon képes generálni. egy karakterlánc a belső ASN1_STRING struktúrában, amelyet nem null karakter zár le, és dolgozza fel az OpenSSL függvényekben, amelyek tanúsítványokat nyomtatnak, például X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() és X509_get1_ocsp().
Ezzel egy időben megjelentek a LibreSSL könyvtár 3.3.4-es és 3.2.6-os új verziói, amelyek kifejezetten nem említenek sebezhetőséget, de a változtatások listájából ítélve a CVE-2021-3712 sérülékenység megszűnt.
Forrás: opennet.ru