Elérhetők az OpenSSL kriptográfiai könyvtár 3.0.1 és 1.1.1m karbantartási kiadásai. A 3.0.1-es verzió javítja a biztonsági rést (CVE-2021-4044), és körülbelül egy tucat hibát javítottak mindkét kiadásban.
A sérülékenység az SSL/TLS kliensek implementációjában található, és annak a ténynek köszönhető, hogy a libssl könyvtár helytelenül kezeli az X509_verify_cert() függvény által visszaadott negatív hibakód értékeket, amelyeket a szerver által a kliensnek átadott tanúsítvány ellenőrzésére hívnak meg. Negatív kódokat ad vissza belső hiba esetén, például ha nem lehet memóriát lefoglalni egy puffer számára. Ha ilyen hibát ad vissza, akkor az I/O függvények, például az SSL_connect() és az SSL_do_handshake() hívások hibával és az SSL_ERROR_WANT_RETRY_VERIFY hibakóddal térnek vissza, amelyet csak akkor kell visszaadni, ha az alkalmazás korábban meghívta az SSL_CTX_set_cert()verify_callback .
Mivel a legtöbb alkalmazás nem hívja meg az SSL_CTX_set_cert_verify_callback() függvényt, az SSL_ERROR_WANT_RETRY_VERIFY hiba előfordulását félreértelmezhetjük, és összeomlást, hurkot vagy más helytelen viselkedést eredményezhet. A probléma az OpenSSL 3.0 egy másik hibájával kombinálva a legveszélyesebb, amely belső hibához vezet, amikor az X509_verify_cert() a „Subject Alternative Name” kiterjesztéssel nem rendelkező tanúsítványokat dolgozza fel, de a használati korlátozásokban név-összerendelésekkel. Ebben az esetben a támadás alkalmazásfüggő rendellenességeket okozhat a tanúsítványfeldolgozásban és a TLS-munkamenet létrehozásában.
Forrás: opennet.ru