TLS 1.1.1 취약점에 대한 수정 사항이 포함된 OpenSSL 1.3g 게시

사용 가능 암호화 라이브러리의 수정 릴리스 오픈SSL 1.1.1g, 여기서는 제거됩니다. 취약점 (CVE-2020-1967), 공격자가 제어하는 ​​서버 또는 클라이언트와 TLS 1.3 연결을 협상하려고 시도할 때 서비스 거부로 이어집니다. 해당 취약점의 심각도는 높음으로 평가됩니다.

문제는 SSL_check_chain() 함수를 사용하는 응용 프로그램에서만 나타나고 TLS 확장 "signature_algorithms_cert"가 잘못 사용되는 경우 프로세스가 중단됩니다. 특히, 연결 협상 프로세스가 디지털 서명 처리 알고리즘에 대해 지원되지 않거나 잘못된 값을 수신하는 경우 NULL 포인터 역참조가 발생하고 프로세스가 중단됩니다. OpenSSL 1.1.1d 출시 이후 문제가 나타납니다.

출처 : opennet.ru