Leiðréttingarútgáfur af OpenSSL dulritunarsafninu 3.0.1 og 1.1.1m eru fáanlegar. Útgáfa 3.0.1 lagaði varnarleysið (CVE-2021-4044) og um tugur villa var lagaður í báðum útgáfunum.
Varnarleysið er til staðar í innleiðingu SSL/TLS-biðlara og tengist því að libssl-safnið meðhöndlar rangt neikvæða villukóða sem X509_verify_cert() aðgerðin skilar, kallaðir til að staðfesta vottorðið sem miðlarinn sendi til biðlarans. Neikvæðum kóða er skilað þegar innri villur eiga sér stað, til dæmis ef ekki er hægt að úthluta minni fyrir biðminni. Ef slík villa er skilað munu síðari símtöl í I/O aðgerðir eins og SSL_connect() og SSL_do_handshake() skila bilun og SSL_ERROR_WANT_RETRY_VERIFY villukóða, sem ætti aðeins að skila ef forritið hefur áður hringt í SSL_CTX_set_cert_verify_callback().
Þar sem flest forrit kalla ekki SSL_CTX_set_cert_verify_callback(), getur SSL_ERROR_WANT_RETRY_VERIFY villu verið rangtúlkuð og leitt til hruns, lykkju eða annars rangs svars. Vandamálið er hættulegast ásamt annarri villu í OpenSSL 3.0, sem veldur innri villu þegar unnið er með skírteini í X509_verify_cert() án "Subject Alternative Name" viðbótarinnar, en með nafnabindingum í notkunartakmörkunum. Í þessu tilviki getur árásin leitt til sértækra forrita frávika í meðhöndlun vottorða og stofnun TLS lotu.
Heimild: opennet.ru