Mwepụta mmezi nke ọbá akwụkwọ cryptographic OpenSSL 3.0.1 na 1.1.1m dị. Ụdị 3.0.1 na-edozi adịghị ike ahụ (CVE-2021-4044), na ihe dị ka ahụhụ iri na abụọ ka edobere na mwepụta abụọ ahụ.
Ọdịmma ahụ dị na mmejuputa ndị ahịa SSL/TLS na ọ bụ n'ihi na ọbá akwụkwọ libssl na-ejizi ụkpụrụ koodu njehie na-ezighi ezi nke ọrụ X509_verify_cert () weghachiri, nke a na-akpọ iji nyochaa asambodo nyefee onye ahịa site na sava ahụ. A na-eweghachite koodu na-adịghị mma mgbe mperi dị n'ime mere, dịka ọmụmaatụ, ọ bụrụ na ọ gaghị ekwe omume ikenye ebe nchekwa maka nchekwa. Ọ bụrụ na eweghachiri njehie dị otú ahụ, oku na-esote na ọrụ I/O dị ka SSL_connect() na SSL_do_handshake() ga-eweghachi ọdịda yana koodu njehie SSL_ERROR_WANT_RETRY_VERIFY, nke a ga-eweghachite ma ọ bụrụ na ngwa ahụ emebula oku na SSL_CTX_set_cert_verify_callback() .
Ebe ọ bụ na ọtụtụ ngwa anaghị akpọ SSL_CTX_set_cert_verify_callback(), enwere ike ịkọwa ihe kpatara njehie SSL_ERROR_WANT_RETRY_VERIFY wee bute mkpọka, loop, ma ọ bụ omume ezighi ezi. Nsogbu a kacha dị ize ndụ yana nchikota ọzọ na OpenSSL 3.0, nke na-eduga na njehie dị n'ime mgbe X509_verify_cert() na-ahazi asambodo na-enweghị ndọtị "Subject Alternative Name", mana nwere njikọ aha na mmachi ojiji. N'okwu a, ọgụ a nwere ike bute ihe adịghị mma dabere na ngwa na nhazi akwụkwọ yana nguzobe nnọkọ TLS.
isi: opennet.ru