rilascio correttivo della libreria crittografica , in cui viene eliminato (), che porta a una negazione del servizio quando si tenta di negoziare una connessione TLS 1.3 con un server o client controllato dall'utente malintenzionato. La vulnerabilità è classificata come di gravità elevata.
Il problema si presenta solo nelle applicazioni che utilizzano la funzione SSL_check_chain() e provoca l'arresto anomalo del processo se l'estensione TLS “signature_algorithms_cert” viene utilizzata in modo errato. In particolare, se il processo di negoziazione della connessione riceve un valore non supportato o errato per l'algoritmo di elaborazione della firma digitale, si verifica un dereferenziamento del puntatore NULL e il processo si blocca. Il problema si presenta dal rilascio di OpenSSL 1.1.1d.
Fonte: opennet.ru