Emendatio emissio bibliothecae cryptographicae OpenSSL 1.1.1l praesto est eliminatione duorum vulnerabilium:
- CVE-2021-3711 redundantia quiddam est in codice algorithmum cryptographicum SM2 (commune in Sinis), quod permittit usque ad 62 bytes in spatio overscripto extra quiddam limitis ob errorem in colligendo magnitudinem quiddam. Invasor potentia consequi potest codicem exsecutionem vel applicationem ruinam per transeundo notas decoding specialiter conficiendas ad applicationes quae in usu EVP_PKEY_decrypt() functionis decrypt SM2 data est.
- CVE-2021-3712 redundantia quiddam est in codice ASN.1 chordae processus, qui applicationis fragorem causare potest vel processus memoriae contenta (exempli gratia ad cognoscendas claves in memoria repositas) si oppugnator generare aliquo modo potest. chorda in structura interna ASN1_STRING, nulla charactere terminata, et eam in functionibus OpenSSL libellorum impressorum imprimentium, ut X509_aux_print(), X509_get1_email(), X509_REQ_get1_email() et X509_get1_ocsp().
Eodem tempore novae versiones bibliothecae LibreSSL 3.3.4 et 3.2.6 dimissae sunt, quae non explicate nominant vulnerabilitates, sed per indicem mutationum iudicantes, vulnerabilitas CVE-2021-3712 corrupta est.
Source: opennet.ru