OpenSSL 暗号化ライブラリ 1.1.1l の修正リリースが利用可能になり、次の XNUMX つの脆弱性が解消されます。
- CVE-2021-3711 - SM2 暗号化アルゴリズム (中国で一般的) を実装するコード内のバッファ オーバーフローにより、バッファ サイズの計算エラーにより、バッファ境界を超える領域で最大 62 バイトを上書きできる可能性があります。攻撃者は、SM2 データを復号化するために EVP_PKEY_decrypt() 関数を使用するアプリケーションに特別に細工された復号化データを渡すことにより、コード実行またはアプリケーションクラッシュを実現する可能性があります。
- CVE-2021-3712 - ASN.1 文字列処理コードのバッファ オーバーフローにより、攻撃者が何らかの方法で内部 ASN1_STRING 構造内に null で終了しない文字列を作成し、それを X509_aux_print()、X509_get1_email()、X509_REQ_get1_email()、X509_get1_ocsp() などの OpenSSL 証明書印刷関数で処理できる場合、攻撃者がアプリケーションをクラッシュさせたり、プロセス メモリの内容を把握したり (メモリに格納されているキーを発見するなど) できる可能性があります。
同時に、LibreSSL ライブラリ 3.3.4 および 3.2.6 の新しいバージョンがリリースされました。これらのバージョンでは脆弱性については明示的に言及されていませんが、変更リストから判断すると、脆弱性 CVE-2021-3712 は排除されています。
出所: オープンネット.ru
