korrektiv Verëffentlechung vun der kryptographescher Bibliothéik , an deem et éliminéiert ass (), wat zu enger Verweigerung vum Service féiert wann Dir probéiert eng TLS 1.3 Verbindung mat engem Ugräifer-kontrolléierte Server oder Client ze verhandelen. D'Schwachheet gëtt als héich Schwieregkeet bewäert.
De Problem erschéngt nëmmen an Applikatiounen déi d'SSL_check_chain () Funktioun benotzen a verursaacht de Prozess Crash wann d'TLS Extensioun "signature_algorithms_cert" falsch benotzt gëtt. Besonnesch, wann d'Verbindungsverhandlungsprozess en net ënnerstëtzten oder falsche Wäert fir den digitalen Ënnerschrëftveraarbechtungsalgorithmus kritt, geschitt eng NULL Zeiger-Dereferenz an de Prozess klappt. De Problem erschéngt zënter der Verëffentlechung vun OpenSSL 1.1.1d.
Source: opennet.ru