暗号ライブラリの修正リリース 、それが排除される ()、攻撃者が制御するサーバーまたはクライアントと TLS 1.3 接続をネゴシエートしようとすると、サービス拒否が発生します。 この脆弱性の重大度は「高」と評価されています。
この問題は、SSL_check_chain() 関数を使用するアプリケーションでのみ発生し、TLS 拡張機能「signature_algorithms_cert」が誤って使用された場合にプロセスがクラッシュします。 特に、接続ネゴシエーション プロセスがデジタル署名処理アルゴリズムに対してサポートされていない値または正しくない値を受け取った場合、NULL ポインター逆参照が発生し、プロセスがクラッシュします。 この問題は、OpenSSL 1.1.1d のリリース以降に発生しています。
出所: オープンネット.ru