OpenSSL ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೈಬ್ರರಿ 1.1.1k ನ ನಿರ್ವಹಣಾ ಬಿಡುಗಡೆ ಲಭ್ಯವಿದೆ, ಇದು ಹೆಚ್ಚಿನ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಿದ ಎರಡು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ:
- CVE-2021-3450 - X509_V_FLAG_X509_STRICT ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರದ ಪ್ರಮಾಣಪತ್ರದ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಸಾಧ್ಯವಿದೆ, ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ಸರಪಳಿಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಹೆಚ್ಚುವರಿಯಾಗಿ ಪರಿಶೀಲಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಎನ್ಕೋಡ್ ಮಾಡುವ ಸರಪಳಿಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳ ಬಳಕೆಯನ್ನು ನಿಷೇಧಿಸುವ ಹೊಸ ಚೆಕ್ನ OpenSSL 1.1.1h ನ ಅನುಷ್ಠಾನದಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ.
ಕೋಡ್ನಲ್ಲಿನ ದೋಷದಿಂದಾಗಿ, ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ ಪ್ರಮಾಣಪತ್ರದ ಸರಿಯಾದತೆಗಾಗಿ ಈ ಹಿಂದೆ ನಿರ್ವಹಿಸಿದ ಚೆಕ್ನ ಫಲಿತಾಂಶವನ್ನು ಹೊಸ ಚೆಕ್ ಅತಿಕ್ರಮಿಸಿದೆ. ಪರಿಣಾಮವಾಗಿ, ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರದಿಂದ ಪ್ರಮಾಣೀಕರಿಸಲ್ಪಟ್ಟ ಪ್ರಮಾಣಪತ್ರಗಳು, ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಕ್ಕೆ ನಂಬಿಕೆಯ ಸರಪಳಿಯಿಂದ ಲಿಂಕ್ ಮಾಡಲಾಗಿಲ್ಲ, ಅವುಗಳನ್ನು ಸಂಪೂರ್ಣ ವಿಶ್ವಾಸಾರ್ಹವೆಂದು ಪರಿಗಣಿಸಲಾಗಿದೆ. "ಉದ್ದೇಶ" ಪ್ಯಾರಾಮೀಟರ್ ಅನ್ನು ಹೊಂದಿಸಿದರೆ ದುರ್ಬಲತೆ ಕಂಡುಬರುವುದಿಲ್ಲ, ಇದು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಪ್ರಮಾಣಪತ್ರ ಪರಿಶೀಲನೆ ಕಾರ್ಯವಿಧಾನಗಳಲ್ಲಿ libssl ನಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಹೊಂದಿಸಲ್ಪಡುತ್ತದೆ (TLS ಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ).
- CVE-2021-3449 - ಕ್ಲೈಂಟ್ ಮೂಲಕ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ClientHello ಸಂದೇಶವನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ TLS ಸರ್ವರ್ ಕ್ರ್ಯಾಶ್ಗೆ ಕಾರಣವಾಗಬಹುದು. ಸಿಗ್ನೇಚರ್_ಅಲ್ಗಾರಿದಮ್ಸ್ ವಿಸ್ತರಣೆಯ ಅನುಷ್ಠಾನದಲ್ಲಿ ಈ ಸಮಸ್ಯೆಯು NULL ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್ಗೆ ಸಂಬಂಧಿಸಿದೆ. ಸಮಸ್ಯೆಯು TLSv1.2 ಅನ್ನು ಬೆಂಬಲಿಸುವ ಮತ್ತು ಸಂಪರ್ಕ ಮರುಸಂಧಾನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ಸರ್ವರ್ಗಳಲ್ಲಿ ಮಾತ್ರ ಸಂಭವಿಸುತ್ತದೆ (ಡೀಫಾಲ್ಟ್ ಆಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ).
ಮೂಲ: opennet.ru