Eng korrektiv Verëffentlechung vun der OpenSSL kryptographescher Bibliothéik 1.1.1l ass verfügbar mat der Eliminatioun vun zwee Schwachstelle:
- CVE-2021-3711 ass e Pufferiwwerfluss am Code deen den SM2 kryptografeschen Algorithmus implementéiert (gemeinsam a China), wat et erlaabt bis zu 62 Bytes an engem Gebitt iwwer d'Puffergrenz ze iwwerschreiwe wéinst engem Feeler bei der Berechnung vun der Puffergréisst. En Ugräifer kéint potenziell d'Code-Ausféierung oder d'Applikatioun Crash erreechen andeems se speziell erstallt Dekodéierungsdaten un Uwendungen weiderginn déi d'EVP_PKEY_decrypt () Funktioun benotzen fir SM2 Daten ze entschlësselen.
- CVE-2021-3712 ass e Puffer Iwwerfloss am ASN.1 String Veraarbechtungscode, deen en Applikatioun Crash verursaache kann oder den Inhalt vum Prozessspeicher opzeweisen (zum Beispill fir Schlësselen ze identifizéieren déi an der Erënnerung gespäichert sinn) wann den Ugräifer iergendwéi fäeg ass ze generéieren eng String an der interner ASN1_STRING Struktur.net vun engem Null Charakter ofgeschloss, a veraarbecht et an OpenSSL Funktiounen déi Zertifikater drécken, wéi X509_aux_print (), X509_get1_email (), X509_REQ_get1_email () an X509_get1_ocsp ().
Zur selwechter Zäit goufen nei Versioune vun der LibreSSL Bibliothéik 3.3.4 an 3.2.6 verëffentlecht, déi net explizit Schwachstelle ernimmen, awer no der Lëscht vun Ännerungen beurteelen, ass d'CVE-2021-3712 Schwachstelle eliminéiert.
Source: opennet.ru